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(57) Abstract 

The invention relate* to a process by means of which a 
session key (K) can be agreed upon between a fiist computer unit 
(U) and a second computer unit (N) while preventing unautharised 
third parties from obtaining useful mfbnnation concerning the key 
or the identity' of the first computer unit (U). This is achieved by 
embedding the principle of the El -Carnal key exchange into the 
process of the, invention with additionally by the formation of a 
digital signature via a hash value of the session key (K) generated 
by the first computer unit (U). 

(57) 7ji»rniWMih«mii|t 

Die Erfindung betrifft ein Veriahmi, mitdemem Sitzungss- 
chmssel (K) zwischen einer ersten Conrpiirereinheit (U) und 
cincr zwciten Computercinheit (N) vereinbart werden kann, otanc 
daS v ein unberagter Dritter nutzlkbe Informadon bezQglich der 
Schlttssel Oder der Identitat der ersten Conmutereinheit (U) erhal- 
ten kann. Dies wird erreicht dutch die Einbethmg des Prinzips 
des El-Gamal SchUlsselaustauschs in das erfindungsgemaBe Ver- 
tahren mit einer zusfitzlichen Bikhmg einer digitalen Unterschrirt 
flber einen Hash-Wert des von der ersten Computereinheit (U) 
gebildeten Sitamngsschlussels (K), 
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Beschreibung 

5 • * 

Verfahren zum rechnergestatzten Austausch kryptographischer 
SchlOssel zwischen einer ersten Computereinheit und einer 
zweiten Computereinheit 

Inf orinationstechnische Systeme unterliegen verschiedenen Be- 
drohungen. So kann z. B. Obertragene Information von einem 
unbefugten Dritten abgehOrt und verfindert werden. Sine weite- 
re Bedrohung bei der Kommunikation zweier Kommunikations- 
15 partner liegt in der Vorspiegelung einer falschen Identitat 
eines Karamunikationspartners* 

Dies en und weiteren Bedrohungen wird durch verschiedene Si-' 
. cherheitsxnechanisxnen; die das inf ormat ions technische System 

20 vor den Bedrohungen schtttzen sollen, begegnet. Ein zur Siche- 
rung verwendeter Sicherheitsmechanismus ist die VerschlCsse- 
lung der tlbertragenen Daten. Damit die Daten in eiher Kommu- 
nikationsbeziehung zwischen zwei Koznmunikationspartnerh ver- 
schlftsselt werden k&nnen, mussen vor der Obertragung der ei- 

25 gentlichen Daten zuerst Schritte durchgefOhrt werden,. die die 
Verschiasselung vorbereiten* Die Schritte kdnnen z.. B. darin 
bestehen, dafi sich die bei den Komrraanikationspartner auf einen 
Verschiasselungsalgorithmus einigen und dafi ggf • die gemein- 
samen geheimen Schlttssel vereinbart werden. 

30 • . : V ' * 

Besondere Bedeiitung gewinnt der Sicherheitsmechanismus der [ 
Vers chliisselung bei Mobil funksystemen, da die Obertragenen 
paten in diesen Systemen von jedem Dritten ohne besonderen 
zusatzlichen Auf wand abgeh&rt werden kdnnen. 

35 ; v *•*•■*.' ■ - 

% Dies fOhrt .'zu der Anforderung, eine Auswahl bekannter Sicher- 
: heitsmechanismen so zu treffen und diese Sicherheitsmechanis- 
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men geeignet zu konibinieren, sowie Koinraunikationsprotokolle 
zu spezif izieren, daS durch sie die Sicherheit von informa- 
t ions technis chen Systemen gewahrleistet wird. 

5 Es sind verschiedene asymmetrische Verfahren zum rechnerge- 
BtQtzen Austausch kryptogrdphischer Schlttssel bekanxlt. Asym- 
metrische Verfahren, die geeignet sind fiir Mobil funksyst erne, 
sind (A; Aziz, W. Diffie, "Privacy and Authentication for Wi- 
reless Local Area Networks " , ' IEEE Personal Communications, 
10 1994, 25 bis 31) und (M. Seller, "Proposed Authentication 
and Key Agreement Protocol for PCS" , Joint Experts Meeting on 
Privacy and Authentication for Personal Communications, P&A 
JEM 1993; 1993, S. 1 bis 11) . 

15 Das in (A. Aziz, W. Diffie, "Privacy and Authentication in 
Wireless Local Area Networks", IEEE Personal Communications, 
1994, S. 25 bis 31) beschriebene Verfahren bezieht sich aus- 
dtacklich auf lokale Netzwerke und stellt hdhere Rechenlei- 
stungsahf orderungen an die Computereinheiten der Kommunika- 

20 tionspartner w&hrend des SchlQsselaustauschs* AuSerdem wird 
in dem Verfahren mehr tJbertragungskapazitat benCtigt als in 
dem erf indungsgexnafien Verfahren, da die Lange der Nachrichten 
grdfier ist als bei dem erf indungsgemSSen Verfahren . 

25 Das in (M. Seller, "Proposed Authentication and Key Agreement 1 
Protocol; -for PCS", Joint . Experts Meeting on Privacy and Au- 
thentication for Personal Communications, P&A JEM. 1993, 1993, 
S. 1 bis .11) beschriebene Verfahren hat einige grundlegende 
Sicherheitsziele nicht realisiert . Die explizite Authentif i- 
30 kation des Netzes durch den Benutzer wird nicht ' erreicht . Au- 
fierdem wird ein vom Benutzer an das Netz flbertragener. Schlfcs- 
sel vom Netz hicht an den Benutzer "bestatigt. Auch eine Zusi- 
cherung der Frische (Aktualitat) des Schlussels fftr das Netz 
ist nicht yorgesehen 1 Eih weiterer Nachteil dieses Verf ahrens 
35 besteht in der Beschrankung auf das Rabin -Veyfahr en. bei der 
. irapliziten Authentif iziening des Schlussels durch den Benut- 
zer. Dies schrankt das Verf ahr en in eiiier flexibleren Anwend- 
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barkeit . eiri. AuSerdem ist kein Sicherheitsmechanismus vorge- 
seheri, der die Nichtabstreitbarkeit von ubertragenen Daten 
. gewahrieistet. Dies ist ein erheblicher Nachteil vor alien, 
auch bei der Erstellung unanf echtbarer Gebuhrenabrechnungen 
5 fOr ein Mobil funksy stem. Auch die Beschr&nkung des Verfahrens 
' auf den National Institute 'of Standards in Technology Signa- 
ture Standard (NIST DSS) als verwendete Signaturfuhktion 
schrankt das Verf ahren in seiner allgemeinen Verwendbarkeit 
ein . • 

10 

Es ist ein Verfahren zum sicheren Datenaustausch zwischen 
vielen Teilnehmem unter Mitwirkung einer Zertif izierungsin- 
stanz bekannt (US-Patentschrift US 5 214 700) . Das bei diesem 
. Verfahren verwendete Protokoll weist eine Zufallszahl, eine 
15 Identitatsangabe sowie einen of fent lichen. Schlussel und einen 
Sitzuhgsschlussel auf. Grundlegende Sicherheitsziele werden 
jedoch bei diesem Verfahren nicht realisiert. 

Weiterhin ist ein Verfahren far eine PC-PC-Kommunikation un- 
20 ter Mitwirkung eines Trust-Centers bekannt (DE-Broschure: Te- 
lesec. Telekom, Produktentwicklung Telesec beim Fernmeldeamt 
. Siegen, S. 12-13 und Bild 16) . 

Aus der US-Patentschrift US 5 222 140 ist ein Verfahren be- 
25 kannt, bei dera unter Verwendung sowohl eines Gffentlichen als 
auch eines geheimen Schlussels sowie unter Verwendung einer 
Zufallszahl ein SitzungsschlQssel erzeugt wird. Dieser wird 
. mit einem dffentlichen Schiassel verknupft. :: " . 

30 Weiterhin ist aus der Patentschrif t US 5 153 919 ein Verfah- 
ren bes chri eben , bei dem eine Behut zer einhei t s ich gegenuber 
einer Netzeihheit identif iziert . . AnschlieSend findet unter 
Anwendung einer Hash-Funktion zwischen der Benutzereinheit 
und der Netzeinheit ein AuthentifizierungsprozeS statt. 

Weitere sichere Kommunikationsprotokolie, die aber wesentli- 
che grundlegende Sicherheitsziele nicht realisieren, sind be- 
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. kannt (M. Beller et al, Privacy and Authentication on a Por- 
: table Communication System, IEEE Journal on Selected Areas in 
Communications , Vol. 11, No. 6, S. 82lT829 r 1993). 

5 Das Problem der Erf indung liegt darin, ein vereinf achtes ver- 
f ahren zum rechnergestatzten Austausch kryptographischer 
Schlassel anzugeben* 

Dieses Problem wird durch das Verfahren gemafi Patent anspruch 
10 1 geldst. Vorteilhafte Weiterbildungen der Erf indung ergeben 
sich aus den abhangigen AnsprOchen. . ' 

Es wird aus einer erst en Zufallszahl mit Hilfe eines erzeu- 
genden Elements einer endlichen Gruppe in der erst en Compu- 
15 tereinheit ein erster Wert gebildet und eine erste Nachricht 
von der erst en Computereinheit an die zweite Computereinheit 
Obertragen, wobei die ersten Nachricht mindestens den ersten 
Wert aufweist , In der zweiten Computereinheit wird ein Sit- 
zungsschlussel mit Hilfe einer ersten Hash-Funktion gebildet, 
20 wobei eihe erste EingangsgrOSe der ersten Hash-J^unktion min- 
destens einen ersten Term aufweist, der gebildet wird' durch 
eine Exponentiation des ersten Wert s mit einem geheimen Netz- 
schlassel. in der erst eh Computereinheit wird der Sitzungs- 
schlOssel gebildet mit Hilfe der ersten Hash-Fuhktion, wobei 
25 eine zweite Eingangsgrdfie. der ersten Hash-Funktion mindestens 
; einen zweiten Term aufweist, der gebildet wird durch eine Ex- 
ponentiation eines fifferitlichen NetzschlOssels mit der ersten 
Zufallszahl, Ferner wird in der ersten Corqputereinheit mit 
Hilfe einer zweiten Hash-Funktion oder der ersten Hash-. 
30 Funktion eine vierte Eihgangsgrdfee gebildet/ wobei eine drit- 
te Bingangsgr6$e far die erste Hash-Funktion oder far die 
zweite Hash-Funktion . zur Bildiing der vieften EingangsgrOSe 
mindestens den Sitzungsschiassel aufweist. baraufhin wird in 
der ersten Computereinheit ein Signaturterm aus mindestens 
35 der Vierten Eingangsgr6Se gebildet unter. Anweridung einet er- 
sten Signatur funktion. Eine dritte Nachricht wird von der er- 
sten Computereinheit an die zweite Computereinheit Obertra- 
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- ■gen, wobei die dritte Nachricht xnindestens den Signaturterm 
der ersten Computereinheit aufweist. In der zweiten Caopu- 
tereinheit wird der Signaturterm verif iziert', .* 

5 Die durch das erf indungsgemafie Verfahren erreichten Vorteile 
liegen vor a Hem in einer 6rheblichen Reduktion der L&nge der 
Qbertragenen Nachrichten und in der Realisieruhg weiterer Si- 
cherbeitsziele . 

10 Durch das erf indungsgema&e Verfahren werdeh folgende Sicher- 
heitsziele realisiert: 

. . - Gegenseitige explizite Authentif izierung von dem Benutzer 
-.. und dem Netz, d. h. die gegenseitige Verif izierung der be- 
15 haupteten Identitat, 

- Schlfisselvereinbarung zwischen dem Benutzer und dem Netz 
xriit gegenseitiger impliziter Authentif izierung, d. h. daS 
durch das Verfahren erreicht wird, dafi nach AbschluS der 
Prozedur ein gemeinsamer geheimer SitzungsschUlssel zuir 

20 Verfilgung steht, von dem jede Partei weifi, daS nur das au- 
theritische Gegenuber sich ebenfalls im Besxtz des geheimen 
SitzungsschlQssels befinden kahn, . 

- Zusicherung der Frische (Aktualitat) . des Sitzungsschlfcssels 
fui: den Benutzer, 

25 - gegenseitige Bestatigung des SitzungsschlCissels von dem Be- 
nutzer und dem Netz, d. h. die Bestatigung, dafi das Gegen- 
uber tat sachlich im Besitz des vereiiibarten geheimen Sit- . 
zungsschlOssels ist. 

30 Aiif diese Sicherheitsziele beziehen sich auch die folgenden 
vorteilhaften Weiterbildungen des Verfahrehs. 

Bei der Weiterbildung des Verfahrens gemafi den Patentanspruch 
2 wird zusatzlich in der ersten Computereinhieit ein vertraix- 
35 enswOrdiger dffentlicher BenutzerschlCtssel der ersten Conpu- . 
tereinheit z«-B. in Form eihes Benutzerzertifikats verfUgbar 
gemacht und in der zweiten Computereinheit wird ein vertrau- 
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ens wQrdiger 6ffentl i cher NetzschlQssel der zweiten Compu- 
tereinheit z. B. in Form eines Netzzertif ikats verfxlgbar ge- 
macht Der 6f f ehtliche Netzschiassel miiS bei" dieser Weiter- 
bildung nicht in der ersten Computereinheit verfttgbar sein. 

purch die Weiterbildung de£ Verfahrens gemaS den Patentan- 
spruch 3 1st es nicht n&tig, daS der dffentliche Benut- 
zerschlttssel in der zweiten Computereinheit . verf Ogbar ist . 

10 Bei der Weiterbildung des Verfahrens gemaS Patentanspruch 4. 

ist in der ersten Computereinheit kein vertrauenswflrdiger 6f- 
. fentlicher Netzschiassel der zweiten Computereinheit erfor- 

deflich. ±n der ersten Computerenheit ist ein vertrauenswQr- 

diger df f entlicher Zertif izierungsschlussel der Zertif izie- 
15 rungsconrputereinheit verfQgbar. Dies bedeutet, daS die erste 

Computereinheit sich den vertrauenswflrdigen dffent lichen . 

Netzschiassel in Form eines Netzzertif ikats von einer Zerti- 
. f izierungs computereinheit "besorgen" mu£. Ebensb braucht die 

zweite Computereinheit den vertrauenswurdigen Of f entlichen 
20 Benutzerschttssel in Form eines Benutzer zertif ikats voh der 

Zertif izierungscomputereinheit. 

Durch die Weiterbildungen des erf indungsgemafien Verfahrens 
gemafi den Patehtahspruchen 6, ixad 12 wird das Sicherheitsziel 
25 der Benutzeranonymitat realisiert* d. h # die Vertraulichkeit 
der I dent it at des Benutzers gegenQber Dritten. 

Die Weiterbildung des erf indungsgemaSen Verfahrens gemafi Pa- 
tentanspruch 8 erm6glicht die Verwendiing yon temporary Be- 
30 nutzeridentitaten. 

Durch die Weiterbildung des Verfahrens gemaS Patentanspruch 9 
wird vor allein eine zusatzliche Authentif izierung der zweiten 
Conrputereinheit gegenuber der ersten Computereinheit gewahr- 
35 leistet ♦ 
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Durch die Weiterbildung gemaS Patentanspruch il wird das Si- 
cherheitsziel der Zusicherung der Frische : ( Aktualitat ) des 
Sitzungsschltlssels far das Netz realisiert. ■ 

5 Durch die Weiterbildung des erf indungsgemaSen Verfahrens ge- 
maS Patentanspruch 14 wird 'zus&tzlich das Sicherheitsziel der 
Nichtabstreitbarkeit von Daten realisiert, die vam Benutzer 
an das Netz gesendet wurden. 

10 Das erfindungsgeimaSe Verfahren ist auSerdem sehr leicht an 

unterschiedliche Anf orderungen anpaShar, da es sich nicht auf 
bestimmte Algorithmen fOr Signaturbildung und Vers chias selling 
beschr&nkt. 

15 Die Zeichnungen stellen bevorzugte Ausfilhrungsbei spiel e der 
Erfindung dar, die im falgenden ndher beschriebeh werden. 

Es zeigen 

20 Figur 1 ein Ablauf diagraxnm, das ein erstes Ausftlhrungsbei- 
spiel des erf indungsgemaSen Verfahrens mit einigen 
Weiterbildungen darstellt; 
Figur 2 ein Ablauf diagrainm, das das erste Ausf uhrungsbeispiel 
des erf indungsgemaSen Verfahrens mit zusfitzlich rea- 
25 lisierten Sicherheitsziel en mit einigen Wei terbildun- 

. . gen beschreibt . 1 

. Figur 3 ein Ablauf diagramm, das ein zweites Ausfiihrungsbei- 
spiel des erf indungsgemaSen Verfahrens mit einigen . 
30 Weiterbildungen darstellt; 

Figur A ein Ablaufdiagramm, das das zweite AUsftUorungsbei-r 

spiel des erf indungsgemaSen Verfahrens mit- zusatzlich 
realisierten Sicherheitszielen jriit einigen Weiterbil- 
dungen beschreibt. 
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Figuren 5a/ b ein Ablauf diagramm,. das ein drittes AusfOh- 
rungsbeispiel des erf indungsgem&fien Verfahrens mit 
einigen Weiterbildungen darstellt; * 

Figuren 6a, b ein Ablauf di a gramm, das das dritte Ausfflhrungs- 
beispiel des erf indungs gema Sen Verfahrens mit zusatz- 
lich realisierten Sicherheitszielen mit einigen Wei- 
terbildungen beschreibt* 

Brstes Ansftthrungsbeispiel 



In den Figuren 1 und 2 sind durch zwei Skizzen der Ablauf des 
erf indungsg.emafien Verfahrens dargestellt . Das erf indungsge- 
m&£e Verfahren betrifft den Austausch kryptographischer 
Schlftssel zwischen einer erst en Computereinheit U und einer 

15 zweiten Computereinheit wobei unter der ersten Compu- v 
tereinheit U eine Computereinheit eines Benutzers eines Mo- 
bil funknetzes zu versteheh ist und unter einer zweiten Campu- 
tereinheit N eine Coxrputereinheit des Net zbetreibers eines 
. Mobilfunksystems zu yerstehen ist. 

20 • .■ . • • ' 

Die Erfindung beschrAnkt sich jedoch iiicht auf ein Mobil - 
funksystem und somit auch nicht : auf eineri Benutzer eines Mo- 
bilfunksystems und das Netz, sbndern kann in alien Bereichen 
angewendet werdein, in denen ein kryptojgraphischer Schlilssel- 

25 austausch zwischen zwei Korraminikationsparthern bendtigt wird. 
Dies kann z. B, in einer Kommxinikationsbeziehiing zwischen 
zwei Rechnern, die Daten in verschlusselter Form austauschen 
wbllen/ der Fall sein. Ohne Beschrinkung der Allgemeingtiltig- 
keit wird im folgenden also ein erster Komraunikationspartner 

30 als erste Computereinheit U und ein zweiter Komraunikations- 
partner als zweite Computereinheit N bezeichnet. 

Fur das erf indiangsgemSfie Verfahren gemfiS Anspruch 1 wird vor- 
ausgesetzt, daS in der ersten Computereinheit U ein vertrau- 
35 ensWOrdiger ©ffentlicher Netzschltissel g s der zweiten Compu- 
tereinheit N yerf ugbar ist und daS in der zweiten Coir5)u- 
tereinheit N ein vertrauenswQrdiger . 6f f entlicher Benutzer- 
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schlttssel g u der erst en Computereinheit U verfOgbar ist, wo- 
bei g ein erzeugendes Element einer endlichen Gruppe. ist. 

In der. ersten Computereinheit U wird eine erste Zufallszahl t 
5 generiert. Aus der ersten Zufallszahl t wird mit Hilfe des 
erzeugenden Elements g einer endlichen Gruppe in der ersten 
Computereinheit U ein erster Wert g fc gebildet. 

Asymmetrieche Verfahren beruhen im wesentlichen auf zwei Pro- 
10 blemen der Komplexitfitstheorie, dem Problem zusaxnmengesetzte 
Zahlen eff izient zu f aktoridieren, und dem diskreten Log- : 
arithmusproblem (DLP) • Das DLP besteht darin, dafi in geeig- 
net en Rechenstrukturen zwar Exponent iationen efficient durch- 
gefClhrt werden konnen, daS jedoch fflr die Utakehrung dieser 
15 Operation, das Logarithmieren, keine effiziehten Algorithmen 
bekannt sind. 

Solche Rechenstrukturen sind z. B.' unter den oben bezeichne- 
ten endlichen Gruppen zu verstehen, Diese sind z. ; -B. die xrail- 
20 . tiplikative Gruppe eines endlichen KGrpers . (z. B- Multipli- 
zieren Modulo p, wobei p eine grofie Primzahl ist), oder auch 
sogenannte "elliptische Kurven" . Elliptische Kurven sind vor 
allem deshalb interessant, weil sie bei gleichem Sicher- 
heitsniveau wesentliche kfirzere Sicherheitsparameter erlau- 
25 ben. Dies betrifft die L&nge der 6f fent lichen Schlttssel, die 
Lange der Zertif ikate, die L&nge der bei der SitzungsschlQs- 
selvereinbarung auszutauschenden Nachrichten sowie die Lflnge 
von digitalen Signaturen, die jeweils im weiteren beschrieb£n 
. werden- Der Grund dafQr ist, daS die fdr elliptische Kurven 
30 bekannten I#ogarithmierverf ahren wesentlich weniger eff izient 
sind als die far. endliche K6rper. 

Eine grofie Primzahl . in diesem Zusammenhang bedeutet, daS die 
Gr6Se der Primzahl so gew&hlt werden mufi, dafi die Logarith- 
35 mierung so aufwendig ist, daS sie nicht in vertfetbarer Zeit 
durchgefilhrt werden kann. Vertretbar bedeutet in diesem Zu- 
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sammenhang 'einen Zeitraum entsprechend der Sicherheitspolitik 
von mehreren Jahren bis Jahrzehnten und i Anger. 

Nach der Berechnung des er s ten Wert s gt wird eine erste Nach- 
5 richt Ml codiert, die mindestens den ersten Wert g l aufweist. 
Die erste Nachricht Ml wird von der erst en Computereinheit U 
an die zweite Computereinheit . N flbertragen. : ' 

In der zweiten Computereinheit: N wird die erste Nachricht Ml 
10 decodiert. Die erste Nachricht Mi kann audi fiber einen unsi- 
cheren Kanal, also auch fiber eine Luftschnittstelle/ unver- 
schlfisselt fibertragen werden, da die Logarithmierung des er- 
sten Wertes gt nicht in vertretbkrer Zeit durchgeffihrt werden 
kann. 

15 . = •■' • • 

Wie in Figur 2 beschrieben, kann es vorgesehen sein, daS in 
der zweiten Computereinheit N eine zweite Zufallszahl r gene- 
riert wird. Durch diesen zusatzlichen Verf ahrensschritt wird 
ein zus&tzliches Sicherheitsziel realisiert: die Zusicherung 

20 der Frische (Aktualitat) eines ixn folgenden beschriebenen 
Sitzungsschlussels K far die zweite Conputereinheit N. 

; In der zweiten Computereinheit N wird mit Hilfe einer ersten 
Hash-Funktion hi ein Sitzungsschlfissel : K gebildet . . . Als eine 

25 erste Eingangsgr6Se der erst eh. Hash-Funktion hi wird minde- 
stens ein erster Term verwendet. Der erste Term wird gebil- 
det, indem der erste Wert g fc potenziert wird mit ednem gehei- 
. men. Netzschlfissel s. 

30 Unter einer Hash-Funktion ist in diesem Zusammenhang eine 

Funktion zu verstehen, bei der es nicht infigiich ist,. zu einem 
gegebeneri Funktionswert einen -pas senden Eingangswert zu he- 
re chhen . Femder wird einer beliebig langen Eingangszeichen- 
folge eine Ausgangszeichenf olge fester L^nge zugeordnet. Des 

35 Weiteren wird far die Hash-Funktion in diesem Zusammenhang 
Kollisionsfreiheit gefordert, d. h. es darf nicht m6glich 
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sein, zwei verschiedene Eingangszeichenfolgen zu finden, die 
dieselbe Ausgangsze.ichenfolge ergeben. 

. Wenn die zweite Zufallszahl r verwendet wird, so weist die 
5 erste EingangsgrOSe der ersten Hash-Funktion hi zusatzlich 
mindestens die zweite Zufallszahl r auf . : 

Nun wird in der zweiten Cqnputereinheit N eine Antwort A ge- 
bildet. Zur Bildung der AntWort A sind verschiedene Varianten 

10 vorgesehen. So ist es z. B. mOglich, da& mit dem Sitzungs- 
schltlssei K unter Verwendxzng einer Verschlttsselurigsfuriktion 
Enc eine .Konstante const verschlttsselt wird, pie Kpnstante 
const ist sowohl der ersten Computereinheit U als auch der 
zweiten Computereinheit N bekannt. Auch die Yerschlasselungs- 

15 funktion Enc ist sowohl der zweiten Computereinheit N als - 

auch der ersten Conputereinheit U als die in dem Verfahren zu 
verwendende Verschiasselungsfunktiori bekannt. 

Eine weitere M6glichkeit, die Antwort A zu bilden liegt z. B. 

20 darin, daS der Sitzungsschlussel K als EingangsgrOSe far eine 
dritte Hash-Funktion h3 verwendet wird und der "gehashte" 
Wert des SitzungsschlHssels K als Antwort A verwendet wird, 
Weitere Mdglichkeiten, die Antwort A zu bilden, die zur Obeir- 
prufung des Sitzungsschlfcssels K in der ersteri Cosputerein- 

25 heit U verwendet wird, sind dem Fachmann geldufig und kdhnen 
als Varianten zu den beschriebenen Vorgehensweisen verwendet 
werden. 

Eine Aneinanderreihung der zweiten Zufallszahl r, der Antwort 
30 A, sowie ein optionales erstes Datenfeld datl bilden einfe 

zweite. Nachricht M2* Die zweite Zufallszahl r und das '-optio- 
nal e erste Datenfeld datl sind nur in der zweiten Nachrichten 
112 enthalten, wenn diese in dem erf indungsgemafien Verfahren 
.vorgesehen werden . 

35 " • • ' • * " • *■ • 

Die zweite Nachricht M2 wird in der zweiten Computereinheit N 
codiert und zu der ersten Computereinheit U ttbertragen V 
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in der .ersten Cpirputereinheit U wird die zweite Nachricht M2 
decodiert , so daS die erste Computereinheit U eventuell die - 
zweite Zufaliszahl r, die Antwort A sowie eventuell das op* 
5 tionale erste Datenfeld datl zur Verfttgung hat. Die LAnge des 
optionalen ersten Datenf eldes datl kann beliebig grofi sein, 
d. h. es ist auch mftglich, daS das optionale erste Datenfeld 
; 'datl nicht vorhanden ist. 

10 In der erst en Conputereinheit U wird nun ebenfalls der Sit- 

zungsschlussel K gebildet, mit Hilfe der ersten Hash-Funktion 
hi, die sowohl der zweiten Computereinheit N als auch der er- 
sten Coirputereinheit U bekanht ist . Eirie zweite EingangsgrfiSe 
der ersten Hash-Funktion hi zur Bildung des . Sitzungsschlfcs- 

15 . sels K in der ersten Computereinheit U weist mindestens einen 
zweiten Teirm auf. Der zweite Term wird gebildet aus einer Ex- 
. ponentation eines 6ffent lichen Netzschlussels g s mit der er- 
sten Zufaliszahl t: Wenn die Verwenduhg der zweiten Zu- 
faliszahl r in dem erf induhgsgem&Sen Verfahren vorgesehen 

20 wird/ so weist die zweite EingangsgrfiSe der ersten Hash-Funk- 
tion hi zur Bildung des Sitzungsschlussels K in der ersten 
Congputereinheit. U zus&tzlicti die zweite Zufaliszahl auf. 

Durch die Verwehdung der ersten Zufaliszahl t und der zweiten 
25 Zufaliszahl r bei der Generierung des Sitzungsschlussels K 
wird die Aktualitat des Sitzungsschlussels K gewahrleistet, 
da jeweils die erste Zufaliszahl t als auch die zweite Zu- 
faliszahl r niir f ur jeweils eineh Sitzungsschlilssel K ver- 
wendet werden v - . . * 

30 - ,/ :\- - : ' ■ --.../.. . . ■ • ; . . . - 

■Somit wird eine Wiedereinspielung eines Slteren Schlussels 
als Sitzungsschlilssel K verhindert .Die Aktualitat des Sit- 
. zungss'chlQssels K ist auch bedeutend im Zusainmenhang .mit der 
. Fragestellung, wie grofi die. erste Zufaliszahl t sowie die 
35 ; zweite Zufaliszahl r sein nrCissen. Dies , wird deutiich, da eine 
geringere LAnge der Zuf allszahlen das PLP-Problem verringern, 
d* h, je kurzer die Zufaliszahl ist, desto einfacher ist die 
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Logarithmierung, also z, B. das Herausfinden der ersten Zu- 
fallszahl.t aus dem ersten Wert g fc . Wenn aber fCtr jeden neuen 
SitzungsschlHssel K andere Zufallszahlen Verwendet werden, so 
.ist die Wahrscheinlichkeit, daS der verwendete Sitzungs- 
5 schlOssel K von einem unbefugten Dritten schon herausgefunden 
wurde, wesentlich geringer; Damit ist die Gefahr, daS der 
Teil eirier Nachricht, der mit dem Sitzungsschltissel K ver- 
schiasselt ist, von einem /unbefugten Dritten entschlOsselt 
werden kann, erheblich reduziert. 
10 

Nachdem in der ersten Conputereinheit U der Sitzungsschlttssel 
K gebildet wurde, wird anhand der emp £ ang enen Antwort A Ober- 
prttft, ob der in der ersten Coinputereinheit U gebildet e Sit- 
zungsschiassel K mit dem Sitzungsschiassel K, der in der 
15 zweiten Coinputereinheit N gebildet wurde, tdtereihstimmt . Ab- 
hangig von den im vorigen beschriebeneh Varianten zur Bildung 
der Antwort A sind verschiedene MOglichkeiten vorgesehen, den 
Sitzungsschlussel K anhand der Antwort A zu uberprxlf en < 

20 Eine Mdglichkeit besteht, z- B. darin, daS, wenn die Antwort A 
in der zweiten Coinputereinheit N durch VerschlHsselung der 
Konstante const mit dem Sitzungsschlussel K unter Verwendung 
der Vers chlQsselungsfunkt ion Enc gebildet wurde, die Antwort 
A entschlusselt wird, und somit die erste Coinputereinheit u 

25 eine entschlttsselte Konstante const 1 erhAlt, die mit der be- 
kann ten Konstante const verglichen wird. . . 

Die Oberprtlfung des SitzungsschlCissels K anhand der Antwort A 
kann auch durchgefOhrt werden, indent die der ersten Compu- 

30 tereinheit U bekannte Konstante const mit dem in der ersten 
Coinputereinheit U gebildet en Sitzungsschiassel k unter Ver- 
wendung der VerschlQsselungsfunktion Enc verschlttsselt wird 
xand das Ergebnis mit der Antwort A auf flbereinstixaraung ge- 
prQft wird. Diese Vorgehensweise wird z; B; auch verwendet, 

35 wenn die Antwort, A in der zweiten Coinputereinheit N gebildet 
wird, indein auf den Sitzungsschiassel K die dritte Hash-Furik- 
tion h3 angewendet wird. In diesem Fall wird in der ersten 
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. Computereinheit U der in der ersten Computereinheit U ge- 
bildete SitzungsschlQssel K als Eingahgsgr6fie der dritten 
. Hash-Fuiiktibn h3 verwendet. Der "gehashte" Wert des in der 
ersten .Computer einheit U gebildeten Sitzungsschlftssels K wird 
5 dann mit der Antvrart A auf Obereinstimmung geprtft, Damit 

wird das 2i el der SchlOsselbestatigung des Sitzungsschiassels 
K erreichtL - 

Dadurch; dafi bei der Berechnung des Sitzungsschiassels R in 
10 der zweiten Computereinheit N der geheizne Netzschlassel s und 

bei der Berechnung des Sitzungsschiassels K in der ersten 
. Coxnputereinheit U der Of fentliche Netzschlassel g s verwendet 

werden, wird die zweite Conputereinheit N durch. die erste 

Computereiriheit U authentif iziert . Dies wird erreicht, vor- 
15 ausgesetzt daS far die erste Computer einheit U bekannt ist, 

daS der df fentliche Netzschlassel g B tatsSchlich zur zweite 

Computereinheit N gehdrt . 

Im Anschlufi an die Best&tigung des Sitzungsschiassels K durch 
20 OberprHfung der Antwort A wird ein Signaturterm berechnet. 
Bierzu wird mit Hilfe einer zweiten Hash-Funktion h2 eine 
vierte EingangsgrOfie gebildet. Die zweite Hashr-Funktion h2 
. kann, xnuS aber nicht dieselbe Hash-Funktion sein wie die er- 
ste Hash-Funktion hi.' Als eine dritte EingangsgroSe far die 
25 zweite Hash-Funktion h2 wird ein Term verwendet, der mihde- 
stens den .Sitzungsschiassel K enthi&lt. Weiterhizi kann die 
dritte EingangsgrdSe das optiohale erste Datenfeld datl oder 
.. auch ein optionales zweites Datenfeld dat2 enth'alten, wenn 
deren Verwendung in dem erf indungsgemSSen Verf ahren vorgese- 
30 hen wird. . 

Es kann spSter nicht abgestritten werden, daS die Da ten, die 
im ersten opt ionaie Datenfeld datl und im zweiten optionalen 
Datenfeld dat2 enthalten sind, von der ersten Ccpmputereinheit 
35 U gesendet wurden. 
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Die in dem ersten optional en Datenfeld datl urid in dem zwei- 
ten optionalen Datenfeld dat2 enthaltenen Daten kflnnen 2. b. 
Telefonnummern, die aktuelle Zeit oder ahnliche hierfOr ge- 
eignete Parameter sein. Diese Information kann als Werkzeug 
5 fQr eine unanf echtbare Gebilhr enabr echnung verwendet werden . . 

Unter Verwendung einer ersten Sighaturfunktion Sigjj wird der 
Signaturtenn aus mihdestens der vierten EingangsgrdSe gebil- 
det. Um einen hdheren Sicherheitsgrad zu erzieleh, kann der 
10 Signaturtenn verschlftsselt werden. Der Signaturterm wird in 
diesern Fall mit dem Sitzungsschlftssel K unter Verwendung der 
Vers chlils sellings funkt ion Enc verschlflsselt und bildet den! er- 
sten verschlxissel ten Term VT1. 

15 AuSerdem wird, falls das Sicherheitsziel "Anonymitat des Be- 
nutzers" realisiert werden soli, eixi zweiter verschlusselter 
Term VT2 berechnet, in dem eine IdentitatsgrOfie IMUI der er- 
sten Coitputereinheit U mit dem Sitzungschlussel K mit Hilf e 
der Verschltts sellings funkt ion. Enc verschlQsselt wirdi Bei Ver- 

20 wendung eines qptibnaleri zweiten Datenfeldes dat2 wird in der 
ersten Computereinheit U ein dritter verschlttsselter Term VT3 
. berechnet, indem das optionale zweite Datenfeld dat2 mit dem 
Sitzungsschltlssel K unter Verwendung der Ver- 
! schlusselungsf uriktion Enc verschltisselt wird, das optionale 

25 zweite Datenfeld dat2 kann auch unverschlasselt tibertragen 
. werden. 

In der ersten Computereinheit U wird eine dritte Nachricht M3 
gebildet lind codiert, die mindestens den Signaturterm und die 
30 IdentitatsgrO&e IMUI der ersten Computereinheit V aufweist. 

Falls die Anonymitat der ersten Computereinheit U geWahrlei- 
stet werden soli, weist die dritte Nachricht M3 anstatt der 
IdentitasgrOfie IMUI der ersten Computereinheit U mindestens 
35 den zweiten verschlQsselt en Term VT2 auf, der die Information 
Ober die Identitat der ersten Computereinheit U in ver- 
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schlCsselter Form enthait, .die nur von der zweiten Compu- 
tereinheit N exits chltlsselt werden kann. 

Wenn die Verwendung des optionalen zweiten Datenfelds dat2 
5 vorgesehen wird, weist . die dritte Nachricht M3 ziisatzlich 
mindestens deti dritten verschltlsselten Term VT3 oder das op- 
tionale zweite Datenfeld dat2 im Klartext auf. 

Wenn die dritte Nachricht M3 den erst en verschlftsseiten Term 
10 vn # den zweiten verschlQsselten Term VT2 oder den dritten 
. . verschlusselten Term VT3 enthait, werden diese. in der zweiten 
Computereinheit N entschlusselt . Dies geschieht fttr den' even- 
tuell vorhandenen ersten verschlusselten Term VTl.vor der Ve- 
rification des Signaturt erms . 

is • : ; : v ^ . : /• • 

Die dritte -Nachricht M3 wird. von der ersten Computereinheit U 
zu der zweiten Computereinheit N ubertragen. . 

Zusatzlich wird die Authentif ikation der ersten Coraputerein- 
20 heit O gegenflber der zweiten Computereinheit N durch den Si- 
gnat urterxn gewahr lei stet, durch deren Verwendung garantiert 
wird, = dafi die dritte Nachricht M3 tatsachlich aktuell von der 
ersten Contputereinheit U gesendet wurde. 

25 In der zweiten Conputereinheit N wird die dritte Nachricht M3 
decodiert und ahschliefiend wird anhand eines Benuterzertif i- 
kats CertU, das der zweiten Computereinheit n zur Verfilgung 
steht, der Signaturterm verifiziert. 

30. Wenn far das erf indungsgemaSe Verfahren temporare Benutzeri- 
dent ita ten vorgesehen werden, so wird das im vorigen be- 
schriebene Verfahren um einige Verfahrensschritte erweitert. 

Zuerst muS der zweiten Computereinheit N bekannt gemacht wer- 
35 den, welche. erste Computereinheit U eine neue temporare Iden- 
titatsgrOfie TMUIN von der zweiten Computereinheit N zugewie- 
sen bekommen soli. 
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Hierzu wird als zusatzlicher Bestandteil der ersten Nachricht 
Ml eine alte temporare Idehtitatsgrd&e TMUIQ yon der ersten 
Computereinheit U an die zweite Computereinheit N Obertragen. 
5 ■ / " - ' *' .* • 

Nach Empfang der ersten Nachricht Ml ist somit in der zweiten 
CoEDnputereinheit N bekannt, far welche erste Ccraputereinheit U 
die heue temporare Identitatsgrdfie TMUIN bestimmt ist. 

10 in der zweiten Computereinheit N wird dann die neue temporare 
Identitatsgr6£e TMUIN f Or die erste Computereinheit U ge- 
bildet. Dies kann z. B. durch Generierung einer Zufallszahl 
oder durch Tabellen, in denen mftgliche IdentitatsgroSen abge- 
spei chert sind, durchgeftihrt werden. Aus der neuen tenporaren 

i5 IdentitatsgroSe TMUIN der ersten Cooputereinheit U wird i*x 
der zweiten Computereinheit N ein vierter verschlOsselter 
Term VT4 gebildet, indem die neue tempor&re IdentitatsgrOfie 
TMUIN der ersten Computereinheit U mit dem Sitzungsschlttssel 
K unter Verwendung der Verschlusselungsfunktion Enc ver- 

20 schlusselt wird. 

In diesem Fall weist die zweite Nachricht N2. zusatzlich min- 
destens den vierten verschiasselten Term VT4 auf . Der vierte 
verschlQsselte Term VT4 wird dann in der ersten ' Computer ein- 
25 heit U ent schlusselt . Nun ist die neue temporare I dent i tats- 
gbrSe TMUIN der ersten Computereinheit U in der ersten Conpu- 
tereinheit U verffcgbar. 

Damit der zweiten Coznputereinheit N auch gewahrleistet wird, 
30 daS die erste Computereinheit U die neue temporare Identi- 
tatsgrdfie TMUIN korekt empfangen hat, weist die dritte Eih-, 
gangsgrdSe fur die erste Hash-Funktion hi bder f Or die zweite 
Hash-Funktion h2 zusatzlich mindestens die neue tempo rare 
IdentitatsgrfiSe TMUIN der ersten. Computereinheit U auf . 
35 ... 

. Da die Information der neuen temporaren IdentitatsgrOSe TMUIN 
in dem Signaturterm in diesem Fall enthalten ist, weist die 
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. dritte Nachricht M3 nicht metir die IdentitatsgrdSe IMOI der 
ersteri Ccanputereinheit U auf . 

Es ist .auch m&glich, die neue temporare Identitatsgr6Se TMCTIN 
, 5 nicht in den Signaturterm" zu integrieren, sondern den zweiten 
vers chills sel ten Term VT2 zu bilden, indem anstant der Idehti- 
tatsgr&fie IMOI der ersten Canputereinlieit U die neue tempo- 
rare IdentitatsgrdSe TMtJIN mit dem Sitzungsschlflssel K unter 
Verwendung der Verschlfcsselungsfunktion Enc vers chills sel t 
10 wird. In diesem Fall weist die dritte Nachricht M3 zusatzlich 
den zweiten verschlus sel ten Term VT2 auf • 

Die in dem erf indungsgemafSen Verf ahreii verwexideten Hash-Funk- 
tioneh, die erste Hash-Funktion hi, . die zweite Hash-Funktion 
15 h2 und die dritte Hash-Funktion h3 kftnnen durch die gleiche, 
aber auch durch verschiedehe Hash-Fuhktionen . realisiert wer- 
den . 

Zweites Ausftthrungsbeispiel 

in den Figuren 3 und 4 sind durch zwei Skizzen der Ablauf ei- 
nes zweiten AusfOhrungsbeispiels des erf indungsgemafien Ver- 
: f ahreris dargestellt- 

Fttr dieses Ausfflhrungsbeispiel des Verfahrens wird vor- 
. ausgesetzt, daS in der ersten Comput ereinheit U ein vertrau- 
ehswQrdiger fiffentlicher Benutzerschiassel g U der . ersten Com- 
putereinheit U z. B. in Form eines Benutzerzert if ikats CertU 
yerfQgbar geraacht wird Und daS in der zweiten Computereinheit 
N ein vert rauenswtlrdiger affentlicher Netzschlttssel g s der 
zweiten Comput ereinheit N z ; B . in Form eines Netzzertif ikats 
CertN verffcgbar gemacht wird.. Der effentliche NetzschlOssel 
g s mufi nicht in der ersten Cbmpoit ereinheit U verfagbar sein. 
Ebensb; ist es nicht n6tig, da£ der 6f fentliche Benut- 
zerschiassel g U in der zweiten Computereinheit N verfugbar 

ist. 
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In der ersten Ccanputereinheit U wird eine erste Zufallszahl t 
generiert. Aus der ersten Zufallszahl t wird init Hilfe des 
. erzeugenden Elements g einer endlichen Gruppe in der ersten 
Canputereinheit U ein erster Wert g fc gebildet • 

5 • . 

Nach der Berechnung des erfiten Werts g fc wird eine erste Naeh- 
richt Ml codiett, die mindestens den ersten Wert g 1 una eine 
Identitatsangabe idcA einer Zertifizierungsconputereinheit 
GA, die das Netzzertif ikat CertN liefert, das von der ersten 
10 Coirputereinheit U verifiziert werden kann, aufweist. Die er- 
ste Nachricht Ml wird von der ersten Coinputereinheit XJ an die 
zweite Computereinheit N Obertragen. 

In der zweiten Computereinheit N wird die erste Nachricht Mi 
15 decodiert. Die erste Nachricht Ml kann auch Qber einen unsi- 
cheren Kanal, also auch Qber eine Luf tschnittstelle, unver- 
schltlsselt Qbertragen werden, da die Logarithxnieruhg des er- 
sten Wertes g fc nicht in vertretbarer Zeit durchgefQhrt werden 
* ' kann. 

20 

Wie in Figur 4 beschrieben, kann es vorgesehen sein, daS in 
der zweiten Computereinheit N eine zweite Zufallszahl r gene- 
riert wird. Durch die sen zus&tzlichen Verfahrensschritt wird 
ein zusStzliches Sicherheitsziel realisiert: die Zusicheruhg 
25 der Frische (Aktualit&t) eines im folgenden beschriebenen 
Sitzungsschl&ssels K far die zweite Computereinheit N. 

/ In der zweiten Cdnrputereinheit N wird mit Hilfe einer ersten 
Hash-Funktion hi ein Sitzungsschlussel K gebildet. Als eine . 
30 erste Eingangsgr6Se der ersten Hash-Funktion hi wird ein er- 
ster Term verwendet. Der erste Term wird gebildet , indem der 
erste Wert g fc potenziert wird mit einem geheimen NetzschlCis- 

B ^ s • - 

35 Wenn die zweite Zufallszahl r verwendet wird, so weist die 
; /erste EingahgsgrCfie der ersten Hash-Funktion hi zus&tzlich 
mindestens die zweite Zufallszahl r auf. Nun wird in der 
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zweiten Computereinheit N eine Antwort A gebildet . Zur Bil- 
dung der Antwort A sind verschiedene Varianten vorgesehen. Es 
. .ist z. B. xndglich, dafi mit dem Sitzungsschlttssel K unter Ver- 
wendung. einer Vers chlflsse lungs funkt ion Bnc eine Konstante 

5 const verschlllsselt wird. Die Konstante const ist sowbhl der 

** • * - * 

ersten Computereinheit U als auch der zweiten Coroputereinheit 
N bekannt. Auch idle Vers chlilsselungsfunkt ion Enc ist sowohl 
* der zweiten Computer einheit N als auch der ersten Corapu- . 
tereinheit U als die in dem erf ihdungsgema&en Verfahren zu 
10 verwendende Vers chilis sellings funkt ion bekannt. . 

Eine weitere Mdgiichkeit, die Antwort A zu bilden liegt z. B. 
darin, daS der Sitzungsschlussel K als EirigangsgrdSe fOr eine 
dritte Hash-Funktion h 3 verwendet wird und der "gehashte" 

15 Wert des Sitzungsschlftssels K als Antwort verwendet wird. - 

Weitere M6glichkeiten, die Antwort A zu bilden, die zur tJber- 
pnlfung des SitzungsschlOssels K in der ersten Computerein- 
heit U verwendet wird, sind . dem Fachmann gel&ufig und kdnnen 
als Varianten zu den beschriebenen Vorgehensweisen verwendet 

20 werden. 

Eine Aneinanderreihung der zweiten Zufallszahl r, des Netz- 
zertifikats CertN, der Antwort A, sowie ein pptionales erstes 
Datenfeld datl bilden eine zweite Nachricht M2. Die zweite 
25 Zufallszahl r und dlas opt ionale erst e Datenfeld datl sind nur 
in der zweiten Nachricht M2- enthalten, wenn diese in dem er- 
f indungsgemaSen Verfahren vorgeseheh sind. 

Die zweite 'Nachricht M2 wird in der zweiten Computereinheit N 
30 codiert und zu der ersten Computereinheit U ubertragen. 

In der ersten Computereinheit U wird -die zweite Nachricht M2 . 
decodiert, so dafi die erste Computereinheit U eventuell die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- 
35 tionale erste Datenfeld datl zixr VerfCgung hat. Die Lange des 
optionalen ersten Datenfeldes : datl kann beliebig groS sein, 
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d. h. es ist auch xndglich, daS das optionale erste Datenfeld 
datl nicht yorhanden ist. 

AnschlieSend wird das in der zweiten Nachricht M2 enthaltene 
5 Netzzertifikat CertN in der erst en Computereinheit verifi- 
ziert. Somit steht der 6ff€£ntliche Netzschlfcssel g s in der 
•". ersten Computereinheit U zur Verftigung. 

In der ersten Computereinheit U wird nun ebenfalls der .Sit-' 
10 zungsschlttssel K gebildet, xnit Hilfe der ersten Hash-Funktion 
hi, die sowohl in der zweiten Computereinheit N als auch in 
. der ersten Computereinheit U bekannt ist* Eine zweite Bin- 

gangsgr&fie der ersten Hash-Funktion hi zur Bildung des Sit- 
. . zungsschlttssels K in der ersten Computereinheit U weist xnin- 
15 destens einen zweiten Term auf. Der zweite Term wird gebildet 
aus einer Exponentation eines 6f£entlichen NetzschlCtssels g? 
mi t der ersten Zufallszahl t. Wenn die Verwendung der zweiten 
Zuf allszahl r in dem erf indungsgem&Sen Verf ahren vorgesehen . 
wird, so weist die zweite EingahgsgrASe der ersten Hash- 
20 Funktion hi zur Bildung des Sitzungsschlttssels K in der er- 
sten Computereinheit U zus&tzlich die zweite Zufallszahl r 
auf • 

purch die Verwendung der ersten Zufallszahl t. und der zweiten 
25 Zufallszahl r bei der Generierung des Sitzungsschlttssels K 
wird die Aktualitat des Sitzungsschltissels K gewShrleistet / 
da jeweils die erste Zufallszahl t als auch die zweite Zu- 
fallszahl r nur fur jeweils einen Sitzungsschlttssel . K ver- 
wendet werden. * . 

30 V 

: Soxnit wird eihe Wiedereinspielung eines alter en Schldssels 
als Sitzungsschlilssel K verhindert. Die. Aktualit&t des Sit- 
zungsschlilssels K ist auch bedeutend im Zusammenhang xnit der 
Fragestellung, wie groS die erste Zufallszahl t sowie die . 
35 zweite Zufallszahl r sein mils sen. Dies wird deutlich, da.eine 
: geringere L&nge der Zuf allszahlen das DLP- Problem verringem, 
d. h* je kttrzer die Zufallszahl ist, desto einfacher ist die 
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Logarithmierung, . also z. das Herausfinden der ersten Zu- 
fallszahl t aus dem ersten Wert g fc . Wenn aber fair jeden neueh 
Sitzungsschliissel K andere Zufallszahlen verwendet werden, so 
ist die Wahrscheinlichkeit, diS der verwendete Sitzungs- 
5 schlfcssel K von einem unbefugten Dritten schon herausgefunden 
wurde, wesentlich geringer V Damit ist die Gefahr, dafc der 
Teil einer Nachricht, der mit dem Sitzungsschiassel K ver- 
schlfcsselt ist, von einem unbefugten Dritten entschlfcsselt 
werdien kanh, erheblich reduziert. 

10 / ■ ' • 

Nachdem iii der ersten Computereinheit U der Sitzungsschliissel 
K gebildet wurde; wird anhand der empfangenen Antwort A Ober- 
prflft/ ob der in. der . ersten Computereinheit U gebildete Sit- 
zungsschlfissel 'K mit dem Sitzungsschltlssel K, der in der 

15 zweiten Computereinheit N gebildet wurde, tibereinstimmt . . 

Abh&ngig von den im vorigen beschriebenen Varianten zur Bil- 
dung der Antwort A sind verschiedene MSglichkeiten vorgese- 
hen, deh Sitzungsschltlssel K anhand der Antwort A zu fcberprO- 
20. fen. 

Eine MOglichkeit besteht z . B. darin, daS, wenn die Antwort A 
in der zweiten Computereinheit N dufch VerschlHsselung der 
Konstante const mit dem Sitzungsschiassel K unter Verwendung 
25 der Verschiasselungsfunktion Enc gebildet wurde, die Antwort 
A entschliisselt wird, und somit die erste Computereinheit U 
eiiie en tschlfcss el te Konstante const 1 erhalt, die mit der be* 
kannten Konstante const verglichen wird. 

30 Die OberprCtfurig des Sitzungsschltls«els K anhand der Antwort A 
kann auch durchgefOhrt werden, indem die der ersten Compu- 
tereinheit U bekannte Konstante const mit dem in der ersten 
Conputereinheit U g^ildet en Sitzungsschliissel K unter Ver- 
wendung der Verschldsselungsfunktion Enc vferschlusselt wird 
35 xind das Ergebnis mit der Antwort A auf Obereinstimtming ge- 
prtift wird. Oiese Vorgehexisweise wird z. B* auch verwendet, 
% wenn die. Antwort A in der zweiten Conputereinheit N gebildet 
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wird, in dem auf den Sitzungsschiassel K die dritte Hash- 
Punktion h3 angewendet wird, In diesem Fall wird in der er- 
sten Computereinheit U der in der ersten Computereinheit U 
gebildete SitzungsschlQssel K ale Eingangsgrfi&e der dritten 
5 Hash-Funktion h3 verwendet . Der "gehashte" Wert des. in der \ 
. ersten ..Computereinheit U gdbildeteh SitzungsschlQssels K wird 
dann mit der Antwort A auf Obereinstiznmung geprQf t . Damit 
wird das Ziel der Schltlsselbestatigung des Sitzungsschlttssels 
Kerreicht. . 

10 \ ' - . • V- . 

Dadurch, da£ bei der Berechnung des Sitzungsschlttssels K in 
der zweiten Computereinheit N der geheime Netzschlttssel s und 
bei der Berechnung des SitzungsschlQssels K iri der ersten . 
Conputereinheit U der Of fentliche NetzschlQssei g s verwendet 

15 werden, wird die zweite Computereinheit N durch die erste* 
Conputereinheit U authentif iziert . Dies wird erreicht, vor- 
ausgesetzt dafi fur die erste Conputereinheit U bekahnt ist, 
daS der 6f f entliche NetzschlQssei g s tatsachlich zur zweiten 
. Computereinheit N gehdrt. 

20 . 

Im AnschluE an die Bestatigung des Sitzungsschlttssels K durch 
tfberpriifung der Antwort A wird ein Signaturterm berechnet. 
Hierzu wird mit Hilf e eiher zweiten Hash-Funktion h2 eine 
vierte EingangsgrdSe gebildet. Die zweite Hash-Funktion h2 

25 kann, mufi aber nicht dieselbe Hash-Funktion sein wie die er- 
ste Hash-Funktion hi* Als eine dritte Eingangsgr&fie ffcr die 
zweite Hash-Funktion h2 wird ein Term verwendet, der minde- 
stens den Sitzungsschlttssel K enthait. Weiterhin kann die 
dritte Eingangsgr6Se das opt ionale erste Datenfeld datl Oder 

30 auch ein optionales zweites Datenfeld da t2 enthalten, wenn 
deren Verwendung in dem erf indungsgemafien Verf ahren vorgese- 
. hen wird. 

Es kann spater nicht abgestritten werden, dafi die Daten, die 
35 ,im ersteh optionale Datenfeld datl und im zweiten optionalen 
Datenfeld dat2 enthalten sind, von der ersten Computereinheit 
U gesendet werden. 
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Die in dem ersten optionalen Datenfeld datl urid in dezn zwei- 
ten; optionalen Datenfeld dat2 enthaltenen Daten k6nnen z. B. 
Telef onnummern, die aktuelle Zeit Oder ahnliche hierfOr ge- . 
5 eigrnete Parameter sein. Diese Information kann als Werkzeug 
fttr eine uhanfechtbare Gebflhreriabrechnung verwendet werden. 

Unter Verwendung einer ersten Signatxirfunkt ion Sigu.wird der 
Signaturterm aus mindestens der vierten EingangsgrOSe gebil- 

10 det. Um einen haheren Sicherheitsgrad zu erzielen, kann der 
Signaturterm yerschltisselt werden. Der Signaturterm wird in 
diesem Fall mit dem SitzungsschltXssel K unter Verwendung der 
VerschlClsseiungSfunktion Bnc verschltisselt und bildet den er- 
sten verschlOsselten Term VT1.. 

15 . ; , ■ - ; 

AuSerdem wird, falls das Sicherheitsziel "Anonymitat des Be-* 
hutzers' realisiert werden soil, ein zweiter verschlttsselter 
Term VT2 berechnet, in dem ein Benutzerzertif ikat CertU der 
ersten. Computereinheit U mit dan Sitzungschlttssel K mit Hilfe 

20 der Vers chilis selungsfunkt ion Enc verschldsselt wird. Bei Ver- 
: wendung eines optionalen zweiten Datenf eldes dat2 kann in der 
ersten Computereinheit u ein dritter verschlCtsselter Term VT3 
berechnet werden, iridem das opt ionale zweite Datenfeld dat2 
mit dem Sitzuhgsschlassel K . unter Verwendung der Verschlttsse^- 

25 lungsfunktion Enc verschlasselt wird. Das bpt ionale zweite 
Datenfeld dat2 kann. ebenso unverschlOselt Obertragen werden. 

In der ersten Computereinheit U wird eine dritte Nachricht M3 
gebildet und codiert, die mindestens den Signaturterm und das 
30 Benutzerzertif ikat CertU der ersten Computereinheit U auf^ 
weist. Falls die Benutzeranonymi tat der ersten Computerein- 
heit U gewihrleistet werden soli, weist die dritte Nachricht 
: M3 anstatt des Benutzerzertifikats CertU der ersten Conpu- 
tereinheit U mindestens den zweiten yerschiiisselten Term VT2 
35 auf , der das Benutzerzertif ikat CertU der ersten Conputerein- 
. he it U in verschlilsselter Form enthfilt, die nur von der zwei- 
ten Computereinheit N entschiasselt werden kann.. 
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Wenn die Verwendung dee optionalen zweiten Datenfelds dat2 
vorgesehen wird, weist die dritte Nachricht M3 zusatzlich 
. mindestens den dritten verschlusselten Term VT 3 auf . wenn 

5 die dritte Nachricht- M3 den ersten verschlusselten Term VTl/= 
den zweiten verschlusselten Term VT2 oder den dritten ver- ' 
schlusselten Term VT3 aufweist, werden diese in der zweiten 
Computereinheit N entschlQsselt : Dies geschieht fur. den eVen- 
tuell vorhandenen ersten verschitisselten Term VT1 vor der Ve- 

0 rifikation des Signaturterms . 

Die dritte Nachricht M3 wird von der ersten Computereinheit U 
zu der. zweiten Computereinheit N ubertragen. 

.Zusatzlich wird die Authentifikation der ersten Computereih- 
hext U gegenuber der zweiten Computereinheit N durch den Si- 
gnaturterm gewahrieistet, durch deren Verwendung garantiert 
wird, daS die dritte Nachricht M3 tatsachlich aktuell von der 

. ersten Computereinheit U gesendet wiirde. 

Wenn fur das erf indungsgemaSe Verf ahren temporare Benutzeri- 
dentitaten vorgesehen werden, so wird das im vorigen be- 
schriebene Verf ahren urn einige Verf ahrensschritte erweitert . 

In der zweiten Computereinheit N wird fur die erste Compu- 
tereinheit U eine neue temporare Identitatsgr6£e TMOTN gebil- 
det, die der ersten Computereinheit u im weiteren zugewiesen 
wxd. Dies kann z. B. durch Generierung einer Zufallszahi oder *■ 
durch Tabellen,. in denen mogliche IdentitatsgrdSen abgespei- 
chert sind, durchgefuhrt werden. Aus der neuen temporaren 
Identitatsgr6Se TMUIN der ersten Computereinheit u wird in 
der zweiten Computereinheit N ein vierter verschliisselter 
Term VT4 gebildet, indem die neue temporare Identitat sgroSe 
TMUIN der ersten Computereinheit U mit dexti Sitzungsschlussel : 
K unter Verwendung der Verschlusselungsfuhktion Ehc ver- 
schlusselt wird. 
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In diesem Fall weist die zweite Nachricht M2 ziisatziich min- 
destens den vierten verschlusselten Term VT4 auf. Der vierte 
verschlasselte Term VT4 wird dann in der ersten Computerein- 
heit Uentschiusselt. Nun ist die netie tenporare Identitats- 
groSe TMUIN der ersten Computereinheit V in der ersten Compu- 
tereinheit U verfugbar. .*'..-.- 

Damit der zweiten Computereinheit N aucih gewahrleistet wird, 
daS die erste Computereinheit u die neue temporafe Identi- ' 
tatsgroSe TMUIN korrekt empfangen hat, weist die dritte Ein- 
gangsgroSe fur die erste Hash-Funktion hi oder fur die zweite 
Hash-Funktion h2 zusatzlich mindesteris die neue temporare 
IdentitatsgrdSe TMUIN der ersten Computereinheit U auf . 

Es ist auch moglich, die neue temporare Ident it at sgroSe TMUIN 
nicht in den Signaturterm zu integriereh, sondem den zweiten 
verschlusselten Term VT2 zu bilden, indem die neue temporare 
IdentitatsgrdJSe TMUIN der ersten Computereinheit U mit dem 
Sitzungsschlassel K unter Verwendung der Verschlusselungs- 
funktion Enc yerschlusselt wird. in diesem Fall weist die 
dritte Nachricht- M3 zusatzlich den zweiten verschltlsselten 
Term VT2 auf. - 

Drittes Ausftihrung8bei8piel 

In den Figuren -5a, b sind durch zwei Skizzen der Ablauf eines 
dritteri Ausfuhrungsbeispiels . dargestellt . 

Fur diese weiterbilduhg des Verfahrens wird vorausgesetzt, 
daS in der ersten Computereinheit U keiri vertrauenswurdiger 
offentlicher Netzschlussel -g* der. zweiten Computereinheit N 
verffcgbar ist. In der ,Benutzercomputerenheit U ist ein ver- 
trauenswurdiger 6ffentlicher Zertifizierungsschlussel g" der 
Zertifizierungscomputereinheit CA verfQgbar, wobei g ein er- 
zeugendes Element einer endlichen Gruppe ist. Dies bedeutet, 
daS die erste Computereinheit Usich den vertrauenswQrdigeh' 
6f f entlichen Netzschlussel g s in Form eines Netzzertif ikats 
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.CertN von. einer Zertif izierungscomputereinheit CA "besorgen- 
mufi. Ebenso braucht die zweiten Camputereinheiit N deh ver- 
trauenswurdigen of f entlichen Benutzerschussel g u in Form ei- 

nes Benutzerzertifikats CertU von der Zertif izierungscompu- 
5 tereinheit CA. 

In der ersten Computereinheit U wird eine erste Zufallszahl 
generiert. Aus der ersten Zufallszahl t wird mit Hilfe des 
erzeugenden Elements g einer endlichen Gruppe in der ersten 
Computereinheit U ein erster Wert gt gebildet. 

Nach der Berechnung des ersten Werts gt wird eine erste Nach- 
richt Ml codiert, die mindestens den ersten Wert gt* eine 
IdentitatsgroSe IMUl der ersten Computereinheit U und eine 
IdentitatsgroSe idcA einer Zertif izierungscomputereinheit CA, 
die ein Netzzertif ikat CertN liefert, das von der ersten Com- 
putereinheit U verifiziert werden kann, aufweist. Dies ist 
notig, wenn mehrere Zertif izierungsinstanzen mit unter- : 
schiedlichen geheimen Zertif izieruhgsschlusseln vorgesehen 
werden. Wenn das Sicherheitsziel der Benutzeranonymitat rea- 
lisiert werden soil, wird in der ersten Computereinheit U vor 
Bildung der ersten Nachricht Ml ein Zwischenschlussei L ge- 
bildet. Dies geschieht durch Potenzierung des off entlichen :* 
Zertif izierungsschlussels gU mit der ersten Zuf allszahl ! t . Un 
weiteren wird in diesem Fall die Ideiititatsgrofie IMUI der er- 
sten Computereinheit U.mit dem Zwischenschlussei L unter An- 
wendung einer Verschlusselungsfunktion Enc verschlusselt und 
das Ergebnis stellt einen vierten verschlusselten Term VT4 
dar. Der vierte verschlusselt e Term VT4 wird anstatt der ' 
IdentitatsgroSe IMUI der ersten Computereinheit U in die er- 
ste. Nachricht Ml integriert. Die erste Nachricht Ml wird von 
der ersten Computereinheit U an die zweiten Computereinheit N 
ubertragen . 

in der zweiten Computereinheit N wird die erste Nachricht Ml 
decodiert. Die erste Nachricht Ml kann auch uber einen unsi- 
cheren Kanal, also auch uber eine Luf tschnittstelle; unver- 
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schlGsselt Obertragen werdsa, da die I^garithmierung des er- 
sten Wertes nicht in vert ret barer Zeit durchgefilhrt werden 
kann. ' 

5 In der zweiten Conputereinheit N wird die erste Nachricht Ml 
decbdiert, und eine vierte * Nachricht M4 gebildet, die eine 
. Verkettting . des der zweiten. Conputereinheit N bekannten 6f- 
fentlichen Netzschlilssels g s , dem ersten Wert gt und der 
Xdentitatsgrd&e IMCTI der ersten Conputereinheit. U f sowie ei- 

10 nem ersten signierten Term auf weist. Der erste signierte Term 
wird gebildet durch Anwendung einer zweiten Signaturf unktion 
Sigfr auf einen ersten Signatureingangsterm^ Der erste Signa- 
tureingangsterm weist xnindestens ein FIrgebnis einer dritten 
Hash-Funktion h3 auf, die auf xnindestens eine Verkettting des 

15 6f fentlichen NetzschlOssels g s , des ersten Werts g fc und der 
Identitatsgr&fie IMUI der ersten Conputereinheit U angewendet 
wird. In dem Fall, daS das Sicherheitsziel der Benutzeranony- 
mit&t * realisiert werden soli ,, wird in der vierten Nachricht 
M4 anstatt der IdentitatsgrdSe IMOI der ersten Conputerein- 

20 heit U der vierte verschlOsselte Term VT4 codiert.. In die sent 
Fall weist auch die Verkettung, auf die die dritte Hash-Funk- 
tion h3 angewendet wird, anstatt der IdentitatsgrdSe IMUI der 
ersten Conputereinheit U den vierten verschlQsselten Term VT4 
.auf. - . - 

25 •• ; ' • 

Die zweite Signaturfwhktion Sig$j kann, mu£ aher nicht gleich 
sein der ersten Signaturf unktion Sigu. 

Die vierte Nachricht M4 wird in der zweiten Conputereinheit N 
30 codiert land anschlieSend an die Zertif i zierungs computer ein- 
. heit CA Qbertragen. 

: In der Zertif izierungsconputereinheit CA wird die vierte . 
Nachricht M4 decodiert und mit dem 6f fentlichen SchlOssel g s , 
35 . der der Zertif izierimgsconputereiixheit CA bekahnt ist, veri-r 
. fiziert. Damit wird die zweiten Conputereinheit N als Sender 
* der vierten Nachricht. M4 authentif izieft-. 



WO 96/37064 



PCI7DE96W0835 



29 

Ahschliefiehd wird, falls die Benutzeranonymitdt gew&hrleistet 
wird, also der vierte verschiasselte Term VT4 in der vierten 
Nachricht M4 mitgesendet wurde, in der Zertif izierungsconpu- 
5 tereinheit CA der Zwischenschlftssel L berechnet, indem der. 
erste Wert g t mit einem geheimen Zertif izierungsschlttssel u 
der Zertif izierungsconrputereinheit CA potenziert wird. 

Mit dem Zwischenschittssel L wird unter Verwendung der Ver- 
10 schlQsselungsfunktion Erie der vierte verschiasselte Term VT4 
entschlttsselt, womit in der Zertif izierungscomputereinheit CA 
die Identit&tsgr6&e IMDI der ersten Carnputereinheit U bekannt 
ist . 

15 In der Zertif izierungscomputereinheit CA wird dann das Benut- 
. zerzertif ikat CertU ermittelt. Das Benutzerzertif ikat CertU 
* kann z. B. aus einer der Zertif izierungscomputereinheit CA . 
eigenen Datenbank ermittelt werden, die alle Zertif ikate der 
Computereiiiheiten ehthait, fflr die die Zertif izierungscoxrpu- 
20 tereinheit CA Zertif ikate erstellt.' 

Um die Gftltigkeit des Netzzertif ikats CertN und des Benutzer- 
zertifikats CertU zu Gberprttfen, wird eine IdeAtit&tsangabe 
id N und der in der vierten Nachricht mitgesendete Offentliche 
25 Netzschlttssel g s , die Identitatsgr6Se IMUI der ersten Con©u-r 
tereinheit U sowie das ermittelte Benut zerzertif ikat CertU 
mit einer Revokationsliste verglichen, in der ungfiltige Zer- 
tif ikate/ Schlassel oder IdentitatsgrdSen aufgefOhrt sind. 

30 Anschlie&end wird aus mindestens einer Verkettung des ersten 
Werts g fc , des affentlichen Netzschiasseis g s und der Identi- 
tatsangabe id N der zweiteri Conputereinheit N ein dritter Term 
gebildet. . 

35 : Der dritte Term wird mit Hilfe einer vierten Hash-Fiinktion h4 
"gehasht" \ind das Ergebnis der Hash-Funktioh h4 Wird unter 
Verwendung einer dritten Signaturfunktion Sig CA signiert . Ein 
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Netzzertif ikat CertN wird nun in der Zertif izierimgsccmput er- 
einheit CA. gebildet, wpbei das Net z zertif ikat CertN minde- 
stens den dritten Term und den signierten Hash-Wert des drit- 
ten Terms aufweist. 

Weiterhin wird beispielsweise in der Zertif izierungscompu- 
tereinheit CA ein Zeitstempel TS kreiert. 

. In der. Zertif izierungscomputereinheit CA wird aufierdem ein 
10 funfter Term gebildet, der mindes tens eine Verkettung des 

Zeitstempels TS, der identitatsangabe idjj der zweiten Compu- 
tereinheit N. und des Benutzerzertifikats CertU aufweist. 

Ein zweiter signierter Term wird gebildet durch Anwendung der 
.15 dritten Signaturfunktion SigcA auf einen zweiten Signaturein- 
gangsterm und den geheimen Zertif izierungsschlussel u. Der 
zweite Signatureingangsterm weist mindes tens ein Ergebnls der 
yierten Hash-Funktion h4 auf, die auf mindes tens den funften 
Term angewendet wird. 

AnschlieSend wird ein. sechster Term gebildet, der mindestens 
den fflnf ten Term imd den signierten Hash-Wert des funften 
Terms aufweist. 

25 Eine in der Zertif izierungscomputereinheit CA gebildete funf- 
te Nachricht M5 weist mindestens eine Verkettung aus dem 
Netzzertif ikat CertN und dem secheten Term auf ♦ 

Die fOhfte Nachricht MS. wird in der Zertif izierungsconputer- 
30 einheit CA codiert und an die zweite Computereinheit N Qber- 
tragen. Nachdem die fOnfte Nachricht in der zweiten Conpu- 
tereinheit N decodiert ist, wird das Netzzertif ikat CertN und 
•der zweite signierte Term verifiziert, 

35 In der zweiten Computereinheit N wird nun ein vierter Term 
gebildet, der mindestens eine Verkettung des dffent lichen 
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Netzschlussels g s und des signierten Hash-Werts des dritten 
Terras auf weist . 

' * * ' • 

in der zweiten Computereinheit N wird mit Hilfe einer ersten 
5 Hash-Funktion hi ein Sitzungsschlossel . K gebildet. Als eine 
erste EingangsgroSe der ersten Hash-Funktion hi wird eine 
Konkatenation eines ersten Terms mit der- zweiten Zuf allszahi 
r verwendet. Der erste Term wird gebildet, indent der erste 
Wert gt potenziert wird mit eihem geheimen Netzschlussel s. 
10 Unter einer Hash-Funktion ist in diesem Zusammenhang eine 

Funktion zu verstehen, bei der es nicht moglich ist, zu einem 
gegebenen Funktionswert einen passenden Eingangswert zu be- 
rechnen. Femder wird einer beliebig langen Eingangszeichen- 
folge eine Ausgangszeichenfolge fester Lange zugeordnet. Des 
15 weiteren wird fur die Hash-Funktion in diesem Zusammenhang 
Kollisiorisfreiheit gefordert, d. h. es darf nicht moglich 
sein, zwei verschiedene Eingangszeichenfolgen zu f inden, die 
dieselbe Ausgangszeichenfolge ergeben. Die zweite Zuf allszahi 
r fihdet Verwendung , wie in den Figuren 2a, b beschrieben; 
wenn das zusatzliche Sicherheitsziel der Zusicherung der Fri- 
sche (Aktualitat) des Sitzungsschlussels K f Or die zweiten 
Computereinheit N realisiert werden soil. 1st dieses Sicher- 
heitsziel nicht benotigt, wird die zweite Zuf allszahi r nicht 
in dem erf indungsgemafien Verfahren verwendet. 

25 • '.. '. : • • •. 

Nun wird in der zweiten Computereinheit N eine Antwort A ge-r 
bildet . Zur Bildung der Antwort A sind verschiedene Varianten 
vorgeseheh. So ist es z. B. moglich, daS mit dem Sitzungs- 
schlussel K uhter Verwendung einer Verschlusselungsfunktion 
Enc eine Sonstante const ver schlussel t wird. Die Konstante 
const ist sowohl der ersten Computereinheit. U als auch der 
zweiten Computereinheit N bekannt. Auch die Ver-r 
schlusselungsf uriktion Enc ist sowohl der zweiten Computerein- 
heit N als auch der ersten Computereinheit U als die in dem 
35 erfindungsgemaSen Verfahren zu verwendehde Verschlusselungs-^ 
funktion bekannt. 
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Eine weitere M6glichkeit, die Antwort A zu bilden liegt z. B. 
darin, daS der Sitzungsschlttssel K als Eingangsgr&fie far eine 
. . dritte Hash-Funktion h3 verwendet wird und der "gehashte" 
Wert des Sitzungsschiassels K als Antwort A verwendet wird. 
5 Weitere Mfiglichkeiten, die Antwort A .zu bilden, die zur tiber- 
prtLfung des Sitzungsschiasdels K in der ersten Computerein- 
heit U verwendet wird, sind dem Fachmann gel&uf ig und kOnrien 
als Varianten zu den beschriebenen Vorgeherisweisen verwendet 
werden. 

10 

. Eine Aneinahderreihung der zweiten Zufallszahl r, des vierten 
Terms der Antwort A, sowie ein optionales erstes Datenf eld 
dati. bilden eine zweite Nachricht M2. pie zweite Zufallszahl 
r und das optionale erste Daterif eld datl sind niir in der 
15 zweiten Nachricht M3 enthalten, wenn diese in dem erfindungs- 
gemaSen Veirfahnen vorgesehen werden. 

Die zweite Nachricht M2 wird in der zweiten Conputereinheit N 
codliert urid zu der erst en Computer einheit U Obertragen. 

20 . / ' 1 -. . ■ - V . 

In der erst en Computereinheit U wird die zweite Nachricht M2 
decodiert, so daS die erst en Computereinheit U eventuell die 
zweite Zufallszahl r, die Antwort A sowie eventuell das op- . 
tionale erste Datenf eld .datl zur Verfdgung hat* Die LArige des 

25 optionalen ersten Datenf eldes datl kann beliebig groS sein, 
d. h« es ist auch mfiglich, daS das optionale erste Datenf eld 
datl hicht vorhanden ist. 

In der ersten Conputereinheit U wird nun ebenf alls der Sit- 
30 zungsschltlssel K gebildet, mit Hilfe der ersten Hash-Funktion 
hi, die sowohl der zweiten Computereinheit N als auch der er- 
sten Computereinheit U bekanrit ist. Eine ' zweite EingangsgrOSe 
der ersten Hash-Funktion; hi zur Bildung des Sitzungsschltts- 
sels K in der ersten Computereinheit U weist mindestens einen 
35 zweiten Term aiif ; Der zweite Term wird gebildet aus einer Ex- 
ponentation eines 6f fentlichen Netzschitissels g s mit der er- 
sten Zufallszahl t r Wenn die zweite Zufallszahl. r in dem er- 
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findungsgemaSen Verfahren vorgesehen wird, so weist die zwei- 
te Eingangsgrd&e der ersten Hash^Funktion hi zur Bildung des 
Sitzungsschl&ssels K in der ersten Camputereinheit U zu- 
s&tzlich die zweite Zufallszahl r auf . 

5 • • • * • 

. Durch die Verwendung der ersten Zufaliszahl t und der zweiten 
Zufallszahl r bei der Generierung des SitzungsschlQssels K 

"\ wird die Aktualit&t des Sitzuhgsschlttssels K gewahrleistet , 
da jeweils die erste Zufallszahl t als auch die zweite Zu- 
.10 falls zahl r nurfQr jeweils einen SitzungsschlQssel K ver- 
wendet werden ♦ 

Somit wird eine Wiedereinspielung eines aiteren SchlQssels 
als SitzungsschlQssel K verhindert. Wenn aber far jeden neu- 

15 en SitzungsschlQssel K andere Zuf allszahlen verwendet werden/ 
so ist die Wahrscheinlichkeit, daS der vexwendete Sitzungs- 
schlQssel K von einem unbefugten Dritten schon herausgefunden 
wurde, wesentlich geringer. Damit ist die Gefahr, dafe der 
Teil einer Nachricht, der mit dem SitzungsschlQssel k ver- 

20 schlQsselt ist, von einem unbefugten Dritten entschlQsselt 
werden kann, erheblich reduziert. 

Nachdem in der ersten Computer einheit U der SitzungsschlQssel 
K gebildet wurde, wird anhand der empfahgenen Antwort A Qber- 
25 prQft, ob der in der ersten Computereiftheit U gebildete Sit- 
zungsschlQssel K mit dem SitzungsschlQssel K,. der in der 
zweiten Computereinheit N gebildet wurde, ubereinstimmt . 

AbhAngig yon den im vorigen beschriebeneii Varianten zur Bil- 
30 dung der Antwort A sind verschiedene MSglichkeiten yorgese- 
hen, den SitzungsschlQssel K anhand der Antwort A * zu QberprQ- 
fen* 

Eine M&glichkeit besteht z. B. darin, daS, wenn die Antwort A 
35 in der zweiten Computereinheit N durch VerschlQsselung der. 
Konstarite const mit dem SitzungsschlQssel K unter Verwendung 
der VerschlQsselungsfunktion Enc gebildet wurd4, die Antwort 
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A entschlHsselt wird, und somit die ersten Computereinheit U 
eine eritschlQsselte Konstante const* erhait, die mit der be- 
kannten Konstante const verglichen wird. 

5 Die CFberprfLfung des Sitzungsschlassels K anhand der Antwort A 
kann auch durchgefQhrt werden, .indem die der ersten Compu- 
ter einheitU bekannte Konstante const mit dem iii der ersten 
Coxnputereinheit U gebildeten Sitzuhgsschlfissel K unter Ver- 
wendung der Verschlttsselungsfunktiori Enc verschlQsseit wird 

10 und das Ergebnis mit der Antwort A auf Obereinstixnmung ge- 
prilft wird. Diese Vorgehensweise wird z. B. auch verwendet, 
wenn die Antwort A in der zweiten Coxnputereinheit N gebildet 
wird, iridem auf den Sitzungsschltlssel K die dritte Hash-Funk- 
tion h3 angewexidet wird. In diesem Fail wird in der ersten 

15 Cofflputereinheit U der in der ersten Computereinheit U ge-- 
bildete Sitzungsschltlssel K als Eingangsgr6Se der dritten 
Hash-Funktion h3 verwendet \ Der "gehashte" Wert des in der 
ersten Computereinheit U gebildeten Sitzungsschlflssel K wird 
dann mit der Antwort A auf (&ereinstimrnung geprttft. Damit 

20 wird das Ziel der Schltisselbestatigung des Sitzungsschlussels 
K erreicht. 

c . 1 

Dadurch, da£ bei der Berechnung des Sitzungsschlassels K in 
der zweiten Computereinheit N der geheime Netzschlussel s und. 

25 . bei der Berechnung des Sitzungsschlussels K in der ersten 

Computereinheit U der dfientliche Netzschlussel g s verwendet 
werden, wird. die zweiten Computereinheit N durch die ersten 
Computereinheit V authentif iziert . Dies wird erreicht; vor- 
ausgesetzt da£ fur die ersten Computereinheit U bekannt ist, 

30 dafi.der offentliche Netzschlussel g s tatsachlich zur . zweiten 
Computereinheit N geh6rt. 

Im AnschluJS an die Bestatigung des Sitzungsschlussels K .durch. 
Crberpruf ung der Antwort A wird ein Signaturterm berechnet. 
35 Hierzu wird mit Hilfe einer zweiten Hash-Funktion h2 eine ' 
yierte Eingangsgrd&e gebildet . pie zweite Hash-Funktion h2 
. kann,. muB fiber nicht dieselbe Hash-Funktion sein wie die er- 
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ste Hash- Funkt ion hi. Als eine dritte Eingangsgr&Se f Ox die 
zweite Hash-Funktion h2 wird ein Term verwendet , der minde- 
stens den Sitzurigsschlfcssel K enthalt. Weiterhin kann die 
dritte ,Eirigangsgr6£e das optionale erste Datenfeld datl Oder 
5 auch ein optionales zweites Datenfeld dat2 enthalt en, wenn 
der en Verwendung in dem erf indungsgem&Een Verfahren vorgese- 
hen wird. 

Es kann sp&ter nicht abgestritten werden, d&S die Daten, die 
10 im ersten optionale Datenfeld datl und im zweiten optionalen 
Datenfeld dat2 enthalten Bind, von der ersten Computereinheit 
' U gesendet werden. 

Die in dem ersten optionalen Datenfeld datl und in dem zwei- 
15 ten optionalen Datenfeld dat2 enthaltenen Daten kdnnen z. B; 
Telefonnummern, die aktuelle Zeit oder ahnliche hierfto ge- 
eignete Parameter sein. Diese Information kann als Werkzeug 
far eihe unanf echtbare Gebxttirenabrechnung verwendet werden . 

20 Unter Verwendung einer ersten Signaturfunktion S±g v wird der 
Signaturterm aus mindestens der vierten Eingangsgrdfie gebil- 
det. Iftn einen hGheren Sicherheitsgrad zu erzielen, kaiih der 
Signaturterm verschltisselt werden. Der Signaturterm wird in. 
diesem Fall mit dem Sitzungsschlflssel K unter Verwendung der 

25 Vers chl us sellings funk t ion Enc verschlfcsselt und bildet den er-. 
sten verschiasselten Term VT1. 

Bei Verwendung eines optionalen zweiten Datenfeldes dat2 wird 
in der ersten Conputereinheit U ein dritter vers chills s el ter 

30 Term VT3 berechnet, indem das optionale zweite Datenfeld dat2 
mit dem SitzungsschlQssel K unter Verwendung der Ver- 
schlfcsselungsfunktion Enc verschliisselt wird. : Das optionale 
zweite Datenfeld dat2 kann auch unverschiasselt , also im 
Klartext Qbertragen werderi. 

35 ■ ' • * - • : • . . * ' / 

In der ersten Coirqputereinheit U wird eine dritte Nachricht M3 
gebildet.und codiert, die mindestens aus dem ersten v.er- 
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schlGsselten Term VT1, und, wenn das optionale zweite Daten- 
feld dat2 verwendet wird, dem dritten verschlHsselten Term 
VT3 oder dem optional en zweiten Datenfeld dat2 im Klartext 
besteht . Die dritte Nachricht M3 wird von der ersten . Corapu*- 
5 tereinheit U zu der zweiten Caorrputereinheit N fiber tragen. 

Zusatzlich wird die Authentif ikation der ersten Computerein- 
heit U gegenOber der zweiten Computereinheit N durch den Si- 
gnaturtena in der dritten Nachricht M3 gewihrleistet, durch 
10 deren Verwendung auch garantiert wird,. dafidie dritte Nach- 
richt M3 tatsachlich aktuell yon der ersten Ccxqputereinheit U 
gesendet wurde. 

. In der zweiten Computereinheit N wird die dritte Nachricht M3 
15 decqdiert tind anschliefiend wird der erste verschlQsselte Term 
VT1 sowie eventuell der dritte verschlflsseite Term, VT3 ent- 
schlusselt* Anhand des Beriuterzertif ikats CertU, das der 
zweiten Conputereinheit N zur Verftlgurig steht, wird der Si- 
griaturterm verifiziert. 
20 - : : /• ' ' - 

Wenn die Verwendung des optional en zweiten Datenfelds dat2 
vorgesehen wird, weist die dritte Nachricht M3 zusatzlich 
mindestens den dritten. verschlflsselten Term VT3 auf. oder das 
optionale zweite Datenfeld dat2 in Kiartext, wenn das optio- 
25 nale zweite Datenfeld dat2 in Klartext Obertragen werden 
soil . • . / - 

Werin die dritte Nachricht M3 den ersten verschlttssel ten Term 
VT1, den zweiten verschltisselten Term VT2 oder deii dritten 
30 * verschl-Qsselten Term VT3 aufweist, werden diese in der zwei- 
ten Cqmputereinheit N entschiasseit . Dies geschieht fur den 
eventuell vorhandenen ersten verschltisselten Term VT1 vor der 
Verif ikation des Signaturterms ... -v 

35 : Wenn far das erf indungsgemafie Verfahren tempordre Benutzeri- 
dentitaten vorgesehen werden, so. wird das im vorigen be- 
. schriebene Verfahren urn einige Verf ahrensschritte erweitert. 
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In der zweiten Computereinheit N wird fttr die erste Compu- 
tereinheit U eine neue temporare Identitatsgr6fie ; lMaiN gebil- 
det, die der ersten Computereinheit U iiri weiteren zugewiesen 
S wird. Dies kann z. B. durch Generierung einer Zuf allsiahl 

oder durch Tabeilen, in defien m&gliche Xdentitatsgrd&en abge- 
spei chert sind, durchgefOhrt werden. Axis der neuen temporaren 
. Identitatsgr6fie 1MOIN der \ ersten Conputereinheit U wird in 
der zweiteh Computereinheit N ein vierter verschlOsselter 
10 Term VTA gebildet, indem die neue temporare identitatsgrdfie 
TMCJIN der ersten Campu tereinheit U mit dem SitzungsschlilSBel 
K unter Verwendung der Verschiasselungsfunktion Enc yer- 
schUlsselt wird. 

15 In diesem Fall weist die zweite Nachricht M2 zusatzlich min- 
des tens den vierten verschlfcsselten Term VT4 auf . Der vierte 
verschlQsselte Term VT4 wird dahn in der ersten Computerein- 
heit U eritschlHsselt . Nun ist die neue temporare Identitats- 
gr6Se TMUIN der ersten Computereinheit U in der ersten Cbmpu- 

20 tereinheit U verfugbar. 

Damit der zweiten Computereinheit N auch gewahrleistet wird, 
daS die erste Conputereinheit U die neue temporare Idehti- 
tatsgrfiSe TMUIN korrekt empfangen hat, weist die dritte Ein- 
25 : gangs grGSe far. die erste Hash-Funktion hi oder far die zweite 
Hash-Funktion h2 zusatzlich mindestens die neue temporare. 
IdentitatsgroSe TMUIN der ersten Computereinheit Uauf. 



WO 96/37064 PCT7DE96/Q8835 

.[ ; " . 38 . ■ •* • 

. Patentansprflche 

Verfahren zum rechnergestCttzten Austausctt kryptographi- 
scher SchlCtssel zwischen einer ersten Conimtereinheit (U) iind 
5 einer zweiten Cpxnputereinheit . (N) , 

r bei dem aus einer erst en' Zuf alls zahl (t) mit Hilfe eines 
erzeugenden elements (g) eiher endlichen Gruppe in der e'r- 
sten Conjputereinheit (U) eih erster Wert (gt) gebildet 
' wird, u; . ". 
10 -bei eine erste Nachi-icht (Ml) von deir ersten Congputerein- 

h^it. (U) an die zweite Computereinheit (N) Obertragen wird, 
wobei die ersten Nachricht (Ml) mindes tens den erst eh Wert 
" (g fc ) aufweist,^ 

- bei dem in der zweite Coraputereinheit IN) eih Sitzungs- 

15 schlQssel (K) mit Hilfe. einer ersten Hash-Funktion (hi) -ge- 
bildet wird, wobei eine erste Eingangsgrfifie der ersten 
Hash-Funjction* (hi) mindestens einen ersten Term aufweist, 
der gebildet wird durch eine Exponentiation des ersten 
Werts ..(g fc ) mit einem geheimen Netzschlussel is), 
20 - bei dem in der ersten Computereinheit. (U) der Sitzurigs- 

schlussel ,(K) gebildet wird mit Hilfe der ersten Hash-Fuhk- 
ti<?n (hi); wobei eine zweite EingangsgrSSe der ersten Hash- 
Funktion (hi) mindestens einen zweiten Term aufweist/ der 
. gebildet wird durch eine Exponentiat ion eines 6ffent lichen 
25 Netzschlttssels (g s ) mit der ersten Zufallszahl (t) 

-\ bei dem in der ersten Comput ere inheit (U) mit Hilfe einer 
zweiten Hash-Funkt ion: (h2) oder der ersten Hash-Funktion 
(hi) eine vierte EingangsgrfiSe gebildet wird, Wobei eine 
diritte Eingangsgr6£e far die erste Hash-Funkt i on ( hi) oder 
30 fox die zweite Hash-Funktion (h2) zur Bildung der vierten 
Eingangsgr6£e mindestens ;de ri Si^jing ssch lQssei_ (K) auf- 
weist., . -/ 

- bei dem in der ersten Conputereinheit (U) ein Signaturterm 
aus mindestens der vierten Eingangsgr&fce gebildet wird un- 

35 ter Ariwendung einer ersten Signaturfunktion (Sigy) Y 

,- bei dem eine dritte Nachricht (M3) von der ersten Conpu- . 
tereihheit (UJ an die zweite Coaputereinheit (N) Qbertragen 
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wird, wobei die. dritte Nachricht (M3) mindestens den Signa- 
turterm der ersten Computereinheit (U) aufweist, und 
-bei dem in der zweiten Canputereinheit (N) : der Signaturtenh 
verifiziert wird. 

•• : • - 

2 0 Verfahreh nach Anspruch '1, 
' - bei d6m die erste Nachricht (Ml) zusatzlich eine Identi- 
t&tsangabe (id^A) einer Zertif izierungscorrputereinheit . 
(CA) , die ein Netzzertif ikat (CertN) liefert, das Von der 
10 ersten Computereinheit (U) verifiziert werden kann, auf- 
weist, 

- bei dem eine zweite Nachricht (M2) von der zweiten Conpu- 
tereinheit (N) an die. erste Computereinheit (U) Obertragen 
wird, wobei die zweite Nachricht <M2) mindestens das Netz- 

15 zertifikat (CertN) aufweist, und 

- bei dem in der ersten Computereinheit (U) das Netzzertif i- 
kat (CertN) verifiziert wird. . 

3* Verfahren nach Anspruch 2, 
20 - bei dem eine dritte Nachricht (M3) von der ersten Compute- 
reinheit (U) an die zweite Coirputereinheit (N) Obertrageh 
wird, wobei die dritte Nachricht (M3) zusatzlich ein Benut- 
zerzertifikat (CertU) aufweist, 

- bei dem in der zweiten Computereinheit (N) das Benutzerzer- 
25 tifikat (CertU) verifiziert wird. 

4. Verfahren nach Anspruch 1, 

- bei dem die erste Nachricht (Ml) zusfitzlich eine Identi- 
tatsgrdSe dMUT) der ersten Computereinheit (U) tind eine 

30 Identitatsangabe (id^A) einer Zertif izierungscoinputereifi- 
heit (CA) , die der ersten Computereinheit (U) ein Netzzer- 
tif ikat (CertN) • lief ert, das von der ersten Computereinheit 
(U) verifiziert werden kann, aufweist, 

- bei dem eine vierte Nachricht (M4) von der zweiten Conpu-. 
35 • tereinheit (N) an die Zertif izierungsconqputereinheit (CA) 

fcbertragen wird, wobei die vierte Nachricht (M4) mindestens 
deh effentlichen Netzs'chlttssel (g s ) , den ersten Wert (g fc ), 
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. die Identitatsgr6Se (IMUI) de* ersten Camputereinheit (U) 
. als EingangsgrdSe aufweist und wobei eine Ausgangsgrdfie ei- 
ner dritten Hash-Funktion (h3) unter Verwendung . einer zwei- 
. ten Signaturfunktibn (Sig N ) signiert wird, 
5 - bei dexn in der Zertif izierungscoxnputereinheit (CA> der er- 
ste signierte Term verifiziert wird, 

- bei dem in der Zertifizieanmgscoraputereinheit (CA) ein 
dritter Term gebildet .wird, der mindestens deh ersten Wert 
(g fc ), den. 6f f eritlichen Netzschlttssel (g s ) und eine Identi- 

10 ; tatsangabe (idjg) der zweiten Computereinheit (N) aufweist , 

- bei dexn in der Zertif izierungscomputereinheit (CA) unter 
Verwendung einer vierten Hash-Funktion (h4) ein Hash-Wert 
ttber den dritten Term gebildet wird, 

- bei dem in der Zertif izierungsccpputereiiiheit (CA) der Has- 
15 h-Wert Ober den dritten Term unter Verwendung einer dritten 

Signaturfunktion (Sig^ A ) mit einem geheimen Zertifizie- 
rungsschlttssel (U) signiert wird, 
' * bei dem in der Zertif izierungscoraputereinheit (CA) ein 
Netzzertifikat (CertN) gebildet wird, das mindestens den 
20 dritten Term und den signierten Hash-Wert des dritten Terms 
aufweist, 

- bei dem in der Zertif izieinangsconputereinheit (CA) auf ei- 
nen fflnften Term der mindestens die Identi tatsangabe (1%) 
der zweiten Computereinheit (N) und ein Benutzer zertif ikat 

25 (CertU) aufweist, eine vierte Hash-Funktion (h4) angewendet 
. wird, 

- bei dem der Hash-Wert des fOnften Terms durdh Verwendung 
der dritten Signaturfxinktioh (SigcA) mit dem geheimen Zer- 
tif izierungsschlussel (cs) signiert und das Ergebnis desh 

30 , zweiten signierten Term darstellt, . 

- bei dem eine funfte Nachricht (M5), die mindestens das 
Netzzertifikat (CertN) , den ftinften Term und den zweiten 
signierten Term aufweist, von der Zertif izierungscomputer- 
einiieit (CA) zu der zweiten Computer einheit (N) tibertragen 

35 wird, : 
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- bei dem in der zweiten Computereinheit (N) das Netzzertif i 
kat < CertN) und der zweite signierte Term verifiziert wer- 
den, 

- bei dem in der zweiten Computereinheit (N) ein vierter 
5 Term, der mindestens den 6f fen t lichen Netzschlussel (g s ) 

und den signierten Hash-Wert des dritteh Terms aufweist, 
gebildet wird, 

- bei dem eine zweite Nachricht (M2) von der zweiten Compu- 
tereinheit (N) an die erste Computereinheit (U) ubertragen 

0 wird, wobei die zweite Nachricht (M2) mindestens den vier- 
ten Term aufweist, und 

- bei dem in der ersten Computereinheit (U) das Netzzertif i- 
. kat (CertN) verifiziert wird. 

15 5. Verfahren nach Anspruch 4, 

bei dem der funf te Term zusatzlich einen Zeitstempel (TS) 
aufweist. 

6. Verfahren nach Anspruch 4 oder 5, 
20 - bei dem in der ersten Computereinheit (U) vor. Bildung der 
ersteh Nachricht (Ml) ein Zwischenschlussel (L) gebildet 
wird, indem ein 6ffentlicher Zertif izierungsschiassel (gU) 
mit der ersten Zufallszahl (t) potenziert wird, 

- bei dem in der ersten Computereinheit (U) vor Bildung der 
ersten Nachricht <M1) aus der Identitatsgr6£e (IMUI) der 
ersten Computereinheit <U) ein zweiter yerschlusselter Term 

. (VT2) gebildet wird, indem die Identitatsgrofie (IMUI) mit 
dem Zwischenschlussel (L) unter Anwendung einer Ver- 
schlusselungsf unktion (Enc) verschlusselt wird, : . 
30 - bei dem die erste Nachricht (Ml)' anstatt der Identitatsgr6- 
Se (IMUI) der ersten Computereinheit (U) den zweiten ver- 
schlusselten Term (VT2) aufweist, 
> bei dem die vierte Nachricht (M4) anstatt der Identitats- 
groSe (IMUI) der ersten Computereinheit (U) den zweiten 
verschlusselt en Term (VT2) aufweist, und 
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-bei dem in der Zertif izierungsconputereinheit (CA) , nachdem 
die vierte Nachricht (M4) enpfangen wurde/ der zweite ver- 
schlusselte Term ( VT2 ) • entschlusselt wird . * 

5 1. Verfaihren nach einem der AnsprQche 4 bis 6, 
. bei dem in der Zertif izierttxlgscoxrputereinheit (CA) mindestens 
eine der GrdSen, die Identitatsangabe (idjj) der zweiten Com- 
putereinheit (N) , die Identitatsgrdfce < |mu| ) der ersten Cam- 
putereinheit (U) , der of fentlichfe Netzschlttssel (g s ) oder das 
10 Benutzerzertifikat (CertU) anhand einer Revokationsliste 
Qberpruft wird.. 

8. Verfahren nach einem der Ansprdche 1 bis 7/ 

- bei dem die erste Nachricht (Ml) zusatzlich mindestens eine 
15 alte temporare IdentitatsgrdSe (TMUIb) der ersten Canpu- 

tereinheit (U) aufweist, 

- bei dem in der zweiten Conputereinheit (N) , nach dem die 
ersten Nachricht (Ml) erripfangen wurde und bevor die zweite 
Nachricht (M2) gebildet wird, fOr die erste Camputereinheit 

20 (U) einie neiie temporare identitatsgr6Se. (TMtJIN) gebildet 

• wird/ ' 

- bei dem aus der neuen tempordren IdentitatsgrSBe (TMCJIN) 
der ersten Camputereinheit (U) ein vierter verschlQsselter 
Term (VT4) gebildet wird, in dem die neue terrporare Identi- 

25 tatsgr6fie (TMUIN) der ersten Coinputereinheit (U) mit dem 

Sitzungschltlssel (K) unter Anwendung der Ver schlQs sellings - 
funktion (Enc) verschlusselt wird, . 

- bei idem die zweite Nachricht (M2j zusatzlich mindestens den 
vierten verschlasselten Term <VT4) aufweist, 

30 - bei dem in der ersten Computereihheit (U) , nachdem die 

zweite Nachricht (M2) empfangen wurde und bevor die vierte 
EingangsgrSfie gebildet wird, der vierte verschltisselte Term 
(VT4) entschlilsselt wird; .: 

- bei dem die dritte EingangsgrGSe far die erste Hash-Funkti- 
35 on (hi) Oder ffcr die zweite Hash-Funktion (h2) zur Bildung 

der vierten EingangsgrGEe zusatzlich mindestens die neue 
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texqporare Identitatsgrd&e (TMDIN) der ersten Conputerein- 
heit (U) aufweist, und 

- bei dem die dritte Nachricht <M3) nicht die Identitatsgrfifie 
(IMP?) der ersten Computereinheit (U) aufweist. 

. 9. Verfahren nach einem det AnsprOche 1 bis 8, 

- bei dem in der zweiten Conputereinheit (N) eine Information 
zu dem SitzungsschlCtssel (K) enthaltende Antwort (A) ge- 
bildet wird, 

10 - bei dem eine zweite Nachricht (M2> von der zweite Compu- 
tereinheit . (N) an die erste Computereinheit . (tJ> albertragen 
wird, wobei die zweite Nachricht (M2) mindestens die Ant- 
wort (A) aufweist, und 

- bei dem in der ersten Computereinheit (U) der Sitzungs- 
15 schltissel (K) anhand der Antwort (A) ilberprvlft wird. 

10. Verfahren nach Anspruch 9/ 

bei dem die dritte Nachricht (M3) zusatzlich eine Identitats- 
gr££e ( IMCTI ) der ersten Computereinheit aufweist / 

20 

11* Verfahren nach einem der Ansprilche 1 bis 10 , 

- bei dem in der zweiten Computereinheit (N) die erste Eiir- 
gangsgrafie der ersten Hash-Funktion (hi) zusatzlich minde- 
stens eine zweite Zufallszahl (r) aufweist, 

25 - bei dem die zweite Nachricht <M2) zusatzlich die zweite Zu- 
fallszahl (r) aufweist, und 

- bei dem in der ersten Computereinheit (U) die zweite Ein- 
gangsgrfifee der ersten Hash-Funktion (hi) zusatzlich minde^ 

. stens die zweite Zufallszahl (r) aufweist. 
30 . - • • 

12. Verfahren nach einem der AnSchlflsse 1 bis 5, 

- bei dem in der ersten Computereinheit (U) vor Bildung der 
dritten Nachricht (M3) aus der IdentitatsgrCSe (IMtJI) der 
ersten Coraputiereinheit (U) ein zweiter verschlQsselter Term 

35 ; <VT2) gebildet wird, in dem die IdentitatsgrG&e .{IMDI) mit 
deni Sitzungsschiassel (K) unter Anwendung der. VerschlQsse- 
lxmgsf unkt ion (Enc) verschlQsselt wird, 



WO 96/37064 . . PCT/DK96/D0835 

44 

- bei dem die dritte Nachricht (M3) zus&tzlich den zweiten 
vers chlttssel ten Term (VT2 ). auf weist , und 

. - bei dem in der zweiten Computereinheit (N) , nachdem die 
. dritte Nachricht (M3) . exnpt angen wurde, der zweite ver- 
5 schlusselte Term (VT2) entschlttsselt wird* 

13. Verfahren nach einem der . Ansprtlche 1 bis 12, 

- bei idem die zweite Nachricht (M2) zus&tzlich. ein optionales 
erstes Datenfeld (datl) auf weist und 

10 - bei dem die dritte Eingangsgr6&e far die erste Hash-Funkti- 
on (hi) . oder for die zweite Hash-Funkt ion (h2) zur Bildung 
der vierten Eingangsgr6Se zusatzlich mindestens das optio- 
nale erste Datenfeld (datl) aufweist. 

15 14. Verfahren nach einem der AnsprQche 1 bis 13 , 

- bei dem in der ersten Cqnrputereinheit (U) vor Bildung der 
dritten Nachricht (M3) ein dritter verschlusselter Term 
(VT3> gebiidet wird, indem ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschlussel (K) untef Anwendung der 

20 VerschlAs sellings fiinkt ion (Bnc) verschlusselt wird, 

- bei dem die dritte Nachricht (M3) zusatzlich mindestens den 
dritten verschiasselten Term (VT3) auf weist, und 

- bei dem in der zweiten Computereinheit (N) , nachdem die 
dritte Nachricht (M3) empf angen wurde, der dritte ver- 

25 schlftsselte Term (VT3) entschlflsselt wird. 

15 . Verfahren nach einem der AnsprCtche 1 bis 14, 

bei dem in der; ersten Computereinheit (U) vor Bildung der 
dritten Nachricht (M3) ein erster verschlQsselter Term 
30 (VT1) gebiidet wird, indem der Signaturterm mit deni Sit- 

, zungsschlOssel (K) unter Anwendung der Verschlxisselungs- 
. f unktion (Enc) versdhltlsselt. wird, 

- bei dem die . dritte Nachricht (M3) zusSttziich den ersten 
verschlusselten Term (VT1) aufweist,: und 

35 - bei dem in der zweiten Computereinheit (N) , nachdem die 

dritte Nachricht (M3) empf angen wurde uhd bevor der Signa- 
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turterm verif iziert wird, der erste verschlttsselte Term 
.(VT1) entschlasselt wird. 

16 , Verfahren nach einem der Ansprftche 1 bis 15 , 

5 bei dem in der zweiten Conputereinheit (N) eine Antwort (A) 
gebildet wird, indezn eine Konstante (const), die in der zwei- 
ten Computereinheit (N) und in der ersten Computereinheit (U) 
bekannt sind, mit dem Sitzungsschltlssel (K) unter Anwendung 
der VerschlOsselungsfunktion (Enc) verschlflsselt wird. 
10 ' 

17. Verfahren nach einem der AnsprOche 1 bis 16/ 

- bei dem in der zweiten Computereinheit (N) eine Antwort (A) 
gebildet wird, indem auf den Sitzungsschlussel (K) eine 
.dritte Ha sh- Funkt i on (h3) angewendet wird, und 
15 - bei dem in der ersten Computereinheit (U) die Antwort (A) 
Qberpruft wird, indem auf den SitzungsschlQssel (K) die 
dritte Hash-Funktion (h3) angewendet wird, und das Ergebnis 
mit der Antwort (A) verglichen wird. 

20 18. Verfahren nach einem der Ansprtlche 9 bis 15 Oder 17, 
bei dem in der ersten Computereinheit (U) die Antwort (A) 
OberprCLft wird, indem eine Konstante (const) mit dem Sit- 
zungsschlQssel (K) unter Anwendung der Verschlttsselungsf unk- 
tion (Enc) verschlQsselt wird und das Ergebnis mit der Ant- / 
25 wort (A) verglichen wird. 

19. Verfahren nach einem der AnsprQche 9 bis 15 oder 17, 
bei dem in der ersten Coraputereinheit (U) die Antwort (A) 
fcberprxlft wird, indem die Antwort (A) mit dem Sitiungsschltls- 

30 sel (K) unter Anwendung der Verschlusselungsfunktion (Enc) 

entschlasselt wird und eine entschlftsselte Konstante (const*), 
mit einer Konstante (const) verglichen wird. 

20. Verfahren nach einem der Anspruche 1 bis 19, 

35 bei dem die dritte Nachricht (M3) zusatzlich mindestens ein : 
optionales zweites Datenfeld (dat2) aufweist. 
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21 r Verfahfen nach eiiiem der Ansprflche 1 bis 20, 
bei dem die erste Computereinheit (U) durch ein mobiles Kam- 
xminikationsendigrerat und/oder die zweite Canaputereinheit (N) 
durch eine Authentif izierungseinheit in einem Mobil- 
5 Kommunikationsnetz gebildet werden. 
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